Auteur Sujet: [réglé] Info sur les messages de Nikto  (Lu 11777 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
[réglé] Info sur les messages de Nikto
« le: 04 septembre 2013 à 13:55:15 »
Bonjour,

Je suis entrain d'essayer de tester la sécurité de mon serveur web et de mon site internet, j'ai trouvé le soft nikto en parcourant le web... D'ailleurs si vous en connaissez d'autre ?

J'aurais donc une question car certaine information sont claire mais d'autre pas trop ! J'ai lancé un scan de mon site pour ceux qui cherche à le faire
nikto -h www.mon_site.fr
J'ai donc les informations suivantes que je ne comprends pas, mon serveur étant un debian lenny
Citer
+ DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.
+ /servlets/MsgPage?action=badlogin&msg=<script>alert('Vulnerable')</script>: The NetDetector install is vulnerable to Cross Site Scripting (XSS) in its invalid login message. http://www.cert.org/advisories/CA-2000-02.html.
+ /modules.php?name=Your_Account&op=userinfo&username=bla<script>alert(document.cookie)</script>: Francisco Burzi PHP-Nuke 5.6, 6.0, 6.5 RC1/RC2/RC3, 6.5 is vulnerable to Cross Site Scripting (XSS). http://www.cert.org/advisories/CA-2000-02.html.

+ /WorkArea/version.xml: Ektron CMS version information

+ /modules.php?name=Network_Tools&file=index&func=ping_host&hinput=%3Bid: PHP-Nuke add-on NetTools below 0.3 allow for command execution. Upgrade to a new version.
+ /nuke/modules.php?name=Network_Tools&file=index&func=ping_host&hinput=%3Bid: PHP-Nuke add-on NetTools below 0.3 allow for command execution. Upgrade to a new version.
+ /phpnuke/html/.php?name=Network_Tools&file=index&func=ping_host&hinput=%3Bid: PHP-Nuke add-on NetTools below 0.3 allow for command execution. Upgrade to a new version.
+ /phpnuke/modules.php?name=Network_Tools&file=index&func=ping_host&hinput=%3Bid: PHP-Nuke add-on NetTools below 0.3 allow for command execution. Upgrade to a new version.


+ OSVDB-3299: /forumscalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See http://www.securiteam.com/securitynews/5IP0B203PI.html
+ OSVDB-3299: /forumzcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See http://www.securiteam.com/securitynews/5IP0B203PI.html
+ OSVDB-3299: /htforumcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See http://www.securiteam.com/securitynews/5IP0B203PI.html
+ OSVDB-3299: /vbcalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See http://www.securiteam.com/securitynews/5IP0B203PI.html
+ OSVDB-3299: /vbulletincalendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60id%20%60;die();echo%22: Vbulletin allows remote command execution. See http://www.securiteam.com/securitynews/5IP0B203PI.html
+ OSVDB-724: /ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.  http://ans.gq.nu/ default admin string 'admin:aaLR8vE.jjhss:root@127.0.0.1', password file location 'ans_data/ans.passwd'
+ OSVDB-724: /ans/ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.


je ne comprends pas d'ou ça sort et surtout comment accéder à ces pages lorsque je tape par exemple http://mon_IP_Serveur/WorkArea/version.xml ou encore http://mon_Site.fr/WorkArea/version.xml cela me met une erreur 404... Je ne vois pas bien comment Nikto à trouvé ces éléments.

Quelqu'un aurait-il une idée ?
« Modifié: 07 septembre 2013 à 09:48:16 par niconeo »

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Info sur les messages de Nikto
« Réponse #1 le: 04 septembre 2013 à 18:37:11 »
Il est vulnérable au attaque XSS, tu as un lien à consulter (en anglais) pour les infos, l'as-tu consulté ?

Tu dois également mettre à jours certain modules de ton cms, lis également les lien concernant Vbulletin.

Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : Info sur les messages de Nikto
« Réponse #2 le: 04 septembre 2013 à 20:19:00 »
Bonsoir,

merci pour votre retour, oui j'ai consulté le lien mais c'est pour IIS et je suis sous apache. Justement le problème c'est que je n'ai pas de cms et je ne trouve pas ces fichiers sur mon serveur, je ne comprends pas comment y accéder et surtout comment il a fait pour y accéder.

phpnuke quand à lui est utilisé pour compiler certaine lib, mais à ma connaissance il n'est pas accessible en front via apache !?

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Info sur les messages de Nikto
« Réponse #3 le: 04 septembre 2013 à 20:22:11 »
T'a le lien de ton site ?

Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : Info sur les messages de Nikto
« Réponse #4 le: 05 septembre 2013 à 07:22:30 »
Je t'ai envoye le lien en MP, merci  ;)

EDIT: par contre je ne vois rien dans mes MP envoyé, je ne sais pas si ça a marché ?!
« Modifié: 05 septembre 2013 à 08:15:11 par niconeo »

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Info sur les messages de Nikto
« Réponse #5 le: 05 septembre 2013 à 18:54:17 »
J'ai bien reçu le MP, mais je viens de rentrer du boulot, je te tien au courant.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Info sur les messages de Nikto
« Réponse #6 le: 05 septembre 2013 à 19:08:22 »
J'ai fait quelques test, mais j'ai des question, le serveur c'est un serveur debian que tu héberge toi même ou un serveur que tu loue ?

j'ai également ce port en filtered: "445/tcp filtered microsoft-ds"(Microsoft Naked CIFS)

quelle version de debian ? parce que la réponse de nmap m'inquiète un peu

PORT    STATE    SERVICE      VERSION
22/tcp  open     ssh          OpenSSH 5.1p1 Debian 5 (protocol 2.0)
25/tcp  filtered smtp
80/tcp  open     http?
110/tcp open     pop3         Courier pop3d
111/tcp open     rpcbind      2 (RPC #100000)
143/tcp open     imap         Courier Imapd (released 2008)
443/tcp open     ssl/https?
445/tcp filtered microsoft-ds
465/tcp open     tcpwrapped
587/tcp open     submission?

Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : Info sur les messages de Nikto
« Réponse #7 le: 05 septembre 2013 à 21:01:43 »
Bonsoir,

c'est gentil de me faire un retour merci ! C'est un serveur dédié que je loue chez OVH de 2009 et que je paye un bras pour une conf dépassé ! Je vais changer pour un kimsufi mais j’essaie de faire un audit de sécurité afin de ne pas refaire les mêmes erreur et mieux sécurisé la bécane  :o , c'est moi qui ai fait toute la conf en mode autodidacte...

Pour le port 445 je ne sais pas à quoi cela correspond c'est un Samba ? J'ai pas installé ce genre de truc sur mon serveur pourtant  :o

Pourquoi la réponse de nmap t'inquiète? c'est un gruyère la bécane ?  ??? C'est une version de Debain lenny qui n'est plus maintenu, c'est aussi pour cette raison que je souhaite changer de serveur. J'avais voulu gérer les DNS & mail en plus et j'avais un peu galéré sur les certifications Dkim et les wildcard SSL... J'ai surement du faire des boulettes.

Si tu as des outils à me conseiller pour l'audit n'hésite pas, je viens viens juste de découvrir kali et je n'ai testé que nikto pour l'instant. Merci encore pour le coup de main et les conseils

EDIT: Si le port 445 correspond bien à ça sur ma becane (http://fr.wikipedia.org/wiki/Common_Internet_File_System) je ne sais pas qu'elle soft j'ai pu installer sur ma debian pour avoir ça !
« Modifié: 05 septembre 2013 à 21:04:56 par niconeo »

Hors ligne admin

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 1711
  • +74/-3
    • Communauté FR de Kali-linux
Re : Info sur les messages de Nikto
« Réponse #8 le: 06 septembre 2013 à 13:22:29 »
Avant de commencer à auditer ton serveur mets le à jour !!!

Si tu utilise un serveur accessible depuis l'Internet qui fonctionne sous une version plus soutenu, tu prends de gros risque !

1/ Mets à jour
2/ Sécurise (pare-feu, fail2ban, logwatch, rootkit hunter, mot de passe complexe, change le port d'SSH style 6522 au lieu de 22,...)
3/ Audite (regarde du coté de oscap et lynis).

++


Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : Info sur les messages de Nikto
« Réponse #9 le: 06 septembre 2013 à 15:36:28 »
Bonjour,

Merci pour cette réponse, cependant une du partie du problème est bien la cette distrib n'est plus maintenu... C'est aussi pour cette raison que je pense changer de serveur. Je ne connais que cette manière pour mettre à jour mon serveur, mais vous en connaissez peut être une autre ?  ::)

Merci pour ce retour

Citer
apt-get upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dependances
Lecture des informations d'etat... Fait
Les paquets suivants ont ete conserves:
  bind9 bind9-host bind9utils dnsutils libbind9-50 libisccc50 libisccfg50 liblwres50
0 mise jour, 0 nouvellement installes, 0 à enlever et 8 non mis à jour.

Hors ligne admin

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 1711
  • +74/-3
    • Communauté FR de Kali-linux
Re : Info sur les messages de Nikto
« Réponse #10 le: 06 septembre 2013 à 17:11:30 »
apt-get update
suivi de

apt-get dist-upgrade
N'oublie pas de faire tes sauvegardes avant de faire la mise à jour.


Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : [EN COURS] Info sur les messages de Nikto
« Réponse #11 le: 06 septembre 2013 à 20:20:45 »
Merci j'ai essayé cela ne change rien... :-\ mais je n'ai toujours pas de réponse à mon problème d'origine qui est de savoir comment nikto réussi à accéder à des fichiers que je n'ai visiblement pas sur mon serveur web, si pouviez m'éclairer sur ça , cela m'aiderait vraiment...  :-[

Hors ligne admin

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 1711
  • +74/-3
    • Communauté FR de Kali-linux
Re : [EN COURS] Info sur les messages de Nikto
« Réponse #12 le: 06 septembre 2013 à 21:22:06 »
je ne comprends pas d'ou ça sort et surtout comment accéder à ces pages lorsque je tape par exemple http://mon_IP_Serveur/WorkArea/version.xml ou encore http://mon_Site.fr/WorkArea/version.xml cela me met une erreur 404... Je ne vois pas bien comment Nikto à trouvé ces éléments.

Quelqu'un aurait-il une idée ?

La ligne " /WorkArea/version.xml: Ektron CMS version information" n'apporte pas grand chose. Utilises-tu ce CMS ?

Hors ligne niconeo

  • Membre Junior
  • *
  • Messages: 13
  • +0/-0
Re : [EN COURS] Info sur les messages de Nikto
« Réponse #13 le: 07 septembre 2013 à 09:46:10 »
Non comme expliqué précédemment je n'utilise aucun cms, c’est un vieux projet perso que j'avais développé en 2008... Tout est du home made ! à part des faux positifs je ne comprends pas trop comment nikto peux accéder à ces fichiers...?

php nuke est utilisé pour compilé des sources mais à ma connaissance il n'est pas accessible en front sur le web... A moins que cela passe par des ports autres que le port 80... Dans ce cas il est vrai que je ne sais pas trop d’où sorte les ports ouverts sur ma bécane... Je vais m’intéresser à ça de plus près pour ma nouvelle install serveur.

Je viens déjà de faire un tour sur tous les logiciels kali de la section penetration testing tools, mais sur certain il est dur de trouver de la doc... Il ne me reste plus qu'a faire comme d'hab... chercher  :o

merci quand même d'avoir pris le temps de répondre.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : [réglé] Info sur les messages de Nikto
« Réponse #14 le: 07 septembre 2013 à 12:31:47 »
Ta version de debian n'est plus maintenue, et elle est probablement à jour, ça ne sert à rien de update upgrade, tu dois réinstaller une version plus récente si tu veux profiter de certaine fonctionnalité optimisation et mise à jours de paquet.