Batch Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Répondre au sujet Page 2 sur 4
Aller à la page: <  1, 2, 3, 4  >
Failles
Auteur Message
Répondre en citant
Message Failles 
Revue du message précédent :

Il faudrait aussi faire un compte ftp pour les utilisateurs, limité en possibilités (juste accès à un dossier précis et possible à bloquer pour les maintenances sans devoir bloquer le compte maître), pour ne pas utiliser le compte maître sur lequel, il est possible de tout faire.

Également, j'ai trouver une autre exploit sur l'utilisation du ftp et où donc, offusquer le programme ne corrigera pas cet exploit.

Message Publicité 
PublicitéSupprimer les publicités ?


Répondre en citant
Message Failles 
TSnake41 a écrit:
Il faudrait aussi faire un compte ftp pour les utilisateurs, limité en possibilités (juste accès à un dossier précis et possible à bloquer pour les maintenances sans devoir bloquer le compte maître), pour ne pas utiliser le compte maître sur lequel, il est possible de tout faire.

Ce serait possible si tu veux anto, contacte moi Wink




______________________________________________________
Contacte moi par Twitter ou par mail Smile
Répondre en citant
Message Failles 
Déja un serveur je galère alors 1 serveur ftp par utilisateur Arrow Bannir

xD

Bon je verrais quand j'aurais un peu plus de temps




______________________________________________________
Visiter le site web du posteur Skype
Répondre en citant
Message Failles 
Anto2112 a écrit:
Déja un serveur je galère alors 1 serveur ftp par utilisateur Arrow Bannir

xD

Bon je verrais quand j'aurais un peu plus de temps


Pas besoin de 1 serveur ftp par utilisateur ...

Créé simplement un compte ftp pour les clients et puis voilà !




______________________________________________________
Coucou, tu veux voir mon Site Web ?? Mort de Rire
Visiter le site web du posteur Skype
Répondre en citant
Message Re: Failles 
Hello !

NiSnip a écrit:
Comme vous avez pu le remarquer (ou pas) FTPCrypt possède beaucoup de failles, je ne devrais pas faire ce post car ça tombe sous le sens mais on dirais que ce n'est pas le cas de tout le monde.

Oui enfin, FTPCrypt, c'est plus un programme, c'est du gruyère ! Je vois au moins trois façon de l'attaquer de manière infaillible. Bref, moi je me suis toujours demandé pourquoi vous utilisez FTP mais bon Mr. Green

NiSnip a écrit:
La prochaine fois que tu vois une faille, contact sacha au lieux d'utiliser le bug pour décrypter une chaine de antoprog et de plus se connecté a sont ftp pour prendre un screen.

Moi je trouve ça marrant, je l'aurais même surement fait, tant que ça reste bon enfant et qu'au final y'a pas de dégats (pas de perte de données, etc.).
Après, je vois où est le problème de révéler des failles, c'est même très constructif.




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Re: Failles 
Darkbatcher a écrit:
Hello !
Oui enfin, FTPCrypt, c'est plus un programme, c'est du gruyère ! Je vois au moins trois façon de l'attaquer de manière infaillible.


Je m'en doute, maintenant , il vaut plus rien . Déja plein de personne ont utilisé la faille


Darkbatcher a écrit:
Bref, moi je me suis toujours demandé pourquoi vous utilisez FTP mais bon Mr. Green


Du FTP ?

Le FTP nous sert pour des tranferts de fichier , par exemple "batchat" de Skywalker

On utilise le FTP pour stocker les comptes et stocker le contenu des messages

"AntoProg" de moi

On utilise le FTP car AntoProg est un OS privé qui require le partage de donné via FTP , Personnelement , j'aime bien voir un apercu de l'os , et je sais en cas de défault ou autre ,Je stock :

Le compte
Icone
Tous les fichiers mis sur l'icone

Puis je crée un univers ou m'on peut stocker dans un OS PRIVER et sécurisé

Sinon , Quel intétet d'avoir un OS

Autres utilisation :

On peut associer plein de chose en HTML , PHP , JAVACRIPT , ou autre pour donner des possibilités que l'on a pas de base dans le batch (Je commence a le mettre en place
D'allieur , Merci a NiSnip et a Skywalker en partie , Qui m'ont donné l'idée :

Darkbatcher a écrit:

Moi je trouve ça marrant, je l'aurais même surement fait, tant que ça reste bon enfant et qu'au final y'a pas de dégats (pas de perte de données, etc.).
Après, je vois où est le problème de révéler des failles, c'est même très constructif.


Ah bon ! Quand j'ai posté AntoProg , dans le topic , license ou le site , je parle de sécurité , partage sécurisé


License de AntoProg a écrit:
AntoProg créé par son fondateur AntoZzz est un OS privé. Toutes les donées entrées seront protégées dans
nos serveurs. Votre stockage est illimité mais peut etre limité en cas d'abus

En revanche, les données personnelles entrées peuvent être controlées en cas de probleme. Cependant, seul
les administrateurs y auront accès.

En cas d'infraction comme : DDOS, abus de stockage ou hackage de compte, votre compte sera supprimé ou
innaccessible temporairement.

En finissant cette inscription , vos données entrées seront envoyées sur nos serveurs.
Pour toute demande spécifique, veuillez contacter un administrateur


Si l'on regarde l'historique des ataques sur AntoProg , cela fait la 3 ème malgré que l'on est rien modifié

1 er

Un membre du forum avait DDOS le serveur d'AntoProg en créant plus d'une centaine de dossier avec compte ,Heuresement que je me suis rendu compte et j'ai changé le mdp

Failles : FTPCRYPT

Faciles : en plus je connaissais la faille et j'en avais déja parlé a skywalker et sachadee

Avant les clés était de cette façon

FTPCRYPT /id 0xf6z4f4fq6f46z4fzq4zfq4zf cd antoprog

0xf6z4f4fq6f46z4fzq4zfq4zf ► C'est la clé crypté de AntoProg qui contient l'ip , l'identifiant et le mdp
Puis sans avoir besoin de décrypté juste a changer "cd antoprog" par "delete antoprog"

Skywalker avait eu la meme ataque pire que moi avec 700 fichier je croit

2 ème

Un utilisateur que l'on a jamais retrouvé le nom a réussi a entré sur AntoProg , modifié le fichier de téléchargement puis le repload sur mon FTP
Et AntoProg.rar contenait un virus de types non méchant , Merci pour la confiance de AntoProg

3 ème

Un utilisateur (qui se reconait) s'est toutes fois infiltré sur le FTP d'AntoProg , et utilisé les informations pour se connecté avec d'autre comptes après avoir découvert et dis en mp a moi la faille ,Je trouve sa d'une part bien d'avoir envoyé en MP la faille mais d'exploité la faille pour ensuites l'utilisé

Tout est sur mon PC en tant que preuve mais je ne le dénoncerais pas car si il voulait vraiment hacker les serveurs alors POURQUOI DIRE LA FAILLES !!!

Voila , je veut pas vous critiquez ,Je pense pas crée un OS le plus sécurisé au monde
Juste pour vous dire le temps ENORME FOURNIE , Et on en arrive a sa

Tout ce que je veut dire , C'est arreter de détruire le travail des autres , vous vouyez le résultat

Je vais peut etre arreter le projet , Il me prend trop temps et trop de bêtise a regler

23 version de AntoProg toutes différentes d'un code a peut près de 1500 lignes , la dernière fais 3000
On compte les nombres de fichier

AntoProg a été concu pas pour remplacé Windows ou mac os mais pour vous , Pour que vous vous dites , Non au final c'est ouvert le batch
Mais au final , AntoProg n'apporte rien au forum , Pourtant , j'ai intégré des choses non connue mais non

Bref voila , je veut pas du tout parler méchament mais je sais pas si vous comprenez mon humeur sur AntoProg


Cordialement , Le fondateur de AntoProg , AntoZzz




______________________________________________________
Visiter le site web du posteur Skype
Répondre en citant
Message Re: Failles 
Anto2112 a écrit:
Darkbatcher a écrit:
Bref, moi je me suis toujours demandé pourquoi vous utilisez FTP mais bon Mr. Green


Du FTP ?

Le FTP nous sert pour des tranferts de fichier , par exemple "batchat" de Skywalker

On utilise le FTP pour stocker les comptes et stocker le contenu des messages

En fait je voulais plutôt vous amener à vous poser une question du type "pourquoi privilégier FTP par rapport à HTTP ?" par exemple.
Déjà que FTP tout seul (sans chiffrage) est pas sécurisé... Il y a aussi la contrainte de donner des mots de passe, etc.

Anto2112 a écrit:
Ah bon ! Quand j'ai posté AntoProg , dans le topic , license ou le site , je parle de sécurité , partage sécurisé

En même temps, c'est toi qui l'a écrit, donc tu t'es en quelque sorte engagé à faire un truc sécu... Après, c'est normal qu'il y ait des failles, surtout quand on débute...

Anto2112 a écrit:
Si l'on regarde l'historique des ataques sur AntoProg , cela fait la 3 ème malgré que l'on est rien modifié

En effet, ça commence à faire beaucoup, comme quoi il y a de quoi se poser des question en ce qui concerne l'usage de FTP. Je vais
détailler ce qui me gêne quand avec l'utilisation de FTP dans AntoProg et dans les autres programmes batch :

  • 1 : Pour commencer, FTP tout seul, c'est pas sécurisé, ce qui veut dire que n'importe qui entre toi et le serveur peut savoir ce
    qui transite sur la ligne, y compris les mots de passe, etc. C'est évidement pas terrible, surtout quand on pense qu'il y a rien de
    plus facile pour un utilisateur malveillant que de sniffer sa connexion pour voir les messages circuler en clair.
  • 2 : Comme FTP est un protocole ou la plupart du temps on demande à l'utilisateur de s'authentifier avec login/mdp, utiliser FTP
    avec une application impose que le mot de passe et le login soit à l'intérieur du logiciel. De plus, la cryptographie dans ce cas n'est
    pas une arme efficace, car il y a forcément un moment où l'os voit le mdp et le login en clair, ce qui veut dire que l'utilisateur peut
    aussi si il est rusé.
  • 3 : FTP est pas un bon choix dans le sens où comme c'est un protocole de transfert de fichiers (en masse), c'est difficile de
    contrôler ce qu'un utilisateur ajoute de façon automatique (à l'aide d'un programme qui filtre) car FTP n'est pas prévu pour ça.
    Alors que par exemple avec PHP et http, le transfert de fichier passe obligatoirement le filtre d'un programe, ce qui limite les
    pots cassés.
  • 4 : FTP est compliqué à gérer en terme de limitation d'accès. Normalement, il devrait y avoir un couple login/mdp pour le
    serveur FTP pour chacun des utilisateurs (d'antoprog par exemple). Comme ça on pourrait gérer les accès des différents
    utilisateurs aux différents dossiers.


Anto2112 a écrit:
23 version de AntoProg toutes différentes d'un code a peut près de 1500 lignes , la dernière fais 3000
On compte les nombres de fichier

AntoProg a été concu pas pour remplacé Windows ou mac os mais pour vous , Pour que vous vous dites , Non au final c'est ouvert le batch
Mais au final , AntoProg n'apporte rien au forum , Pourtant , j'ai intégré des choses non connue mais non

Soit pas si négatif, peut être que ça a pas révolutionné le batch, mais faire ce genre de programme se révèle en général très enrichissant pour toi (comme
pour la communauté) en terme de savoir et d'expérience Wink
En vrai, faire des trucs inutiles juste pour le fun, c'est un peu l'histoire de ma vie, quand je regarde tous les programmes que j'ai fait,
y'en a quand même sacré un paquet qui sont inutiles. Mais bon, au final, je me suis bien éclaté à les faire ! Encore la semaine dernière, j'ai passé
mon aprèm à modifier une vielle chignole pour en faire un bateur de cuisine, c'est totalement inutile, mais maintenant quand je fait des crêpes, ça
a vachement plus de gueule Mr. Green




______________________________________________________
--
> Que pensez vous de l'ajout du repertoire point dans $PATH ?
Ma version de troll 18.0.32 beta 3 vient de me faire un core dump.
-+- SE in Guide du Linuxien Pervers : Bien développer son troll -+-

[Dos9]
Visiter le site web du posteur Skype
Répondre en citant
Message Re: Failles 
Darkbatcher a écrit:
En fait je voulais plutôt vous amener à vous poser une question du type "pourquoi privilégier FTP par rapport à HTTP ?" par exemple.
Déjà que FTP tout seul (sans chiffrage) est pas sécurisé... Il y a aussi la contrainte de donner des mots de passe, etc.


Le FTP est très utiles, puis après c'est faciles de relié nos plateforme au batch, Après c'est a toi de choisir la bonne offre ..

En effet, ça commence à faire beaucoup, comme quoi il y a de quoi se poser des question en ce qui concerne l'usage de FTP. Je vais
détailler ce qui me gêne quand avec l'utilisation de FTP dans AntoProg et dans les autres programmes batch :

Darkbatcher a écrit:
il y a forcément un moment où l'os voit le mdp et le login en clair, ce qui veut dire que l'utilisateur peut
aussi si il est rusé.

Pas besoin de rusé, Il est impossible a l'heure ou je vous parle d'avoir le mots de passe des autres utilisateurs sauf en se connectant au serveur d'AntoProg
Si j'explique le fonctionnement du login, L'utilisateur entre les mdp et login puis ftpcrypt envoie une requetes sur le ftp pour ensuite téléchargé le fichier nommé du login et mdp

PS : Oui , On m'a dit une faille sur un fichier qu'il se téléchargait et que j'oublie de supprimé , mais la contenance de ce fichier n'est que des informations qui nous servent en cas d'enquetes sur un DDOS ou autres , Bref résolue

Darkbatcher a écrit:
Soit pas si négatif, peut être que ça a pas révolutionné le batch, mais faire ce genre de programme se révèle en général très enrichissant pour toi (comme
pour la communauté) en terme de savoir et d'expérience Wink
En vrai, faire des trucs inutiles juste pour le fun, c'est un peu l'histoire de ma vie, quand je regarde tous les programmes que j'ai fait,
y'en a quand même sacré un paquet qui sont inutiles. Mais bon, au final, je me suis bien éclaté à les faire ! Encore la semaine dernière, j'ai passé
mon aprèm à modifier une vielle chignole pour en faire un bateur de cuisine, c'est totalement inutile, mais maintenant quand je fait des crêpes, ça
a vachement plus de gueule Mr. Green


Comme je te l'es dit , je passe trop de temps sur AntoProg , avant c'était un plaisir de pouvoir crée un programme fonctionnel qui pouvait servir comme OS
Mais mon but n'est pas de remplacé , maintenant , C'est plus une passion mais une tache a faire, je prend plus plaisir a le faire

Après , peut être un jours , je vais le continuer ou pas !

Cordialement , AntoZzz




______________________________________________________
Visiter le site web du posteur Skype
Répondre en citant
Message Failles 
Citation:
En fait je voulais plutôt vous amener à vous poser une question du type "pourquoi privilégier FTP par rapport à HTTP ?" par exemple.
Déjà que FTP tout seul (sans chiffrage) est pas sécurisé... Il y a aussi la contrainte de donner des mots de passe, etc.


J'y avait pensé, j'avais fait des tests avec BatChat en passant par une page php qui gère tout Wink
Faut que j'améliore un peut, ça bloque pour les variables trop longues ^^

j'avait pensé à ça :
Fichier normal sur le pc de l'utilisateur : image.png
Conversion du fichier en hexa
Envoi sur la page PHP de l'hexa avec un VBS (faut que j'améliore c'est pas au point et on peux envoyer ce qu'on veut comme fichier Sad)

Et ensuite pour le download :
Fichier sur le ftp en hexa : image.png
téléchargement avec un vbs (ou autres)
Conversion de l'hexa en ce que c'etait avant

Mais j'en suis qu'au test ça marche mais faut améliorer, une idée ?




______________________________________________________
Visiter le site web du posteur
Répondre en citant
Message Failles 
Darkbatcher a écrit:

En fait je voulais plutôt vous amener à vous poser une question du type "pourquoi privilégier FTP par rapport à HTTP ?" par exemple.
Déjà que FTP tout seul (sans chiffrage) est pas sécurisé... Il y a aussi la contrainte de donner des mots de passe, etc.


Parce qu’on peut passer par du html pour envoyer des fichier sur un serveur ????????? Shocked Shocked Shocked Shocked A ma connaissance il n'y a que le ftp (et ses dérivés tel que le sftp ...) pour envoyer simplement ses fichiers via le batch et de manière un peu près sécurisé ... Si il y a une méthode de transfert SSL (même si j'ai AUCUNE IDÉE DE CE QUE CELA VEUT DIRE NI DE SON FONCTIONNEMENT, je sais que c'est ultra sécurisé) via du batch sur des serveur je suis preneur à 1800 % ! Mort de Rire Mr. Green Okay




______________________________________________________
Coucou, tu veux voir mon Site Web ?? Mort de Rire
Visiter le site web du posteur Skype
Répondre en citant
Message Failles 
On a un SSL sur stormheberg, encore faut-il que j'arrive a l'activer :lel:



Répondre en citant
Message Failles 
IK-DC a écrit:
Darkbatcher a écrit:

En fait je voulais plutôt vous amener à vous poser une question du type "pourquoi privilégier FTP par rapport à HTTP ?" par exemple.
Déjà que FTP tout seul (sans chiffrage) est pas sécurisé... Il y a aussi la contrainte de donner des mots de passe, etc.


Parce qu’on peut passer par du html pour envoyer des fichier sur un serveur ????????? Shocked Shocked Shocked Shocked A ma connaissance il n'y a que le ftp (et ses dérivés tel que le sftp ...) pour envoyer simplement ses fichiers via le batch et de manière un peu près sécurisé ... Si il y a une méthode de transfert SSL (même si j'ai AUCUNE IDÉE DE CE QUE CELA VEUT DIRE NI DE SON FONCTIONNEMENT, je sais que c'est ultra sécurisé) via du batch sur des serveur je suis preneur à 1800 % ! Mort de Rire Mr. Green Okay

Oui, on peut envoyer des fichiers par http (le but de la requête POST).
Donc il n'y a pas que le ftp pour envoyer des fichiers, il y a aussi le tcp, le http (a ne pas confondre avec html)...

On peut par exemple avec ma commande SockeT, envoyer un fichier sur un serveur php où le serveur contrôle l’accès (on peut demander une authentification voir bloquer un accès sans problème).
Tout dois ce passer sur le serveur, comme ça pas de faille simples, car sinon, c'est le client qui contrôle le serveur alors que ça devrais être l'inverse.
Ce code n'est pas protégé et permet à n'importe qui d'envoyer des fichiers mais c'est une base. Il faudrait y ajouter une authentification et une vérification de dossier.
Code:
@Echo off
echo Envoi de fichier avec SockeT

set IP=0.0.0.0
set Host=myhost.com
set File=Fichier.f
set Path=/SendFile.php

REM Récupération de la taille du fichier.
FOR /F "usebackq" %%A IN ('%File%') DO set size=%%~zA

echo D‚marage de SockeT vers l'ip distante...

REM Démarage de SockeT et vérification de l'éxistance de Session.
start SockeT /c %IP% 80
%windir%\System32\ping -n 5 127.0.0.1>nul
if not exist Session goto error

REM Envoie d'une requête GET à la destination pour vérifier la connection.
echo Envoi d'une requete GET
(echo GET %Path% HTTP/1.1
echo Host: %Host%
echo.
)>IN

REM Attendre la résponse.
echo En attente d'une r‚ponse
:b
%windir%\System32\ping -n 1 127.0.0.1>nul
if not exist Session goto error
if not exist OUT goto b

REM La résponse à été reçue donc on la vérifie et on envoie notre fichier dans une requête POST.
REM Une requête POST permet d'envoyer des données dans le body qui vont être interceptées par
REM le serveur distant.
call:check
if not %ERRORLEVEL% EQU 0 goto error
echo Envoi du fichier...

(echo POST %Path%?File=%File% HTTP/1.1
echo Host: %Host%
echo Content-Type: application/octet-stream
echo Content-Length: %size%
echo.
type %File%
)>IN
goto end

:error
echo Une erreur est survenue.
del Session
pause
exit/b

:end
call:check
if not %ERRORLEVEL% EQU 0 (goto error) else echo Fichier envoyé avec succes !
del Session
pause
exit/b

:check
set/p head=<OUT
echo %head%|%windir%\System32\find "OK">nul
goto:EOF
Et le php qui va avec :
Code:
<?php
$file = $_GET['File'];
file_put_contents($file,file_get_contents("php://input"));
?>





______________________________________________________
Partager permet le savoir. Le savoir permet de partager de nouveau savoirs.
Répondre en citant
Message Failles 
oki je regarderais plus tard,mais ducoup ,j'espere qui supporte des dizaines de fichier a upload en meme temps

Cordialement, AntoZzz




______________________________________________________
Visiter le site web du posteur Skype
Répondre en citant
Message Failles 
De toute façon sa marchera pas mdrr, faut une ip dédié , donc si tu prend l'ip de stormheberg ca marchera pas car c'est l'ip principal , vous n'avez pas d'ip dédié pour chaque compte.



Répondre en citant
Message Failles 
Faut faire un mélange vbs + php je vois que ça qui pourrais être pas mal, et sans nécessiter de grosse connaissances Wink




______________________________________________________
Visiter le site web du posteur
Répondre en citant
Message Failles 
NiSnip a écrit:
De toute façon sa marchera pas mdrr, faut une ip dédié , donc si tu prend l'ip de stormheberg ca marchera pas car c'est l'ip principal , vous n'avez pas d'ip dédié pour chaque compte.


L'ip requise est celle de stormheberg (j'ai testé sur mon compte stormheberg et ça marche (même de trop !)), il s'agit de l'IP de l'hébergeur pour se connecter. C'est Host qui permet de dire sur quel site aller.

Cette IP est récupérable par un simple ping vers stormheberg.com (167.114.208.22).




______________________________________________________
Partager permet le savoir. Le savoir permet de partager de nouveau savoirs.
Répondre en citant
Message Failles 
Tien je pensais pas !

et c'est 167.114.208.229 l'ip pas 167.114.208.22 Smile



Message Failles 


Montrer les messages depuis:
Répondre au sujet Page 2 sur 4
Aller à la page: <  1, 2, 3, 4  >
  



Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Copyright 2008 - 2016 // Batch