Je vais commencer par tout simplement vous donner l'URL qui a juste attiré ma curiosité :

https://boutique.orange.fr/c3cmx/?tp=php&donnee_appel=&id=&IDCible=1&type=1&code_rubrique=5-222853&lettre=t&page-suivante=php/racine_boutique/residentiel/glossaire/index.php

L'URL est telle quelle, donc brut mais on voit déjà que le paramètre page-suivante appelle clairement un fichier en local qui est : php/racine_boutique/residentiel/glossaire/index.php

Mon premier réflexe c'est simplement de tester en changeant le nom du fichier php pour un nom exotique qui ne devrait pas exister et voir la réponse d'erreur. J'ai pris comme nom test.php donc ça donne en URL :

https://boutique.orange.fr/c3cmx/?tp=php&donnee_appel=&id=&IDCible=1&type=1&code_rubrique=5-222853&lettre=t&page-suivante=php/racine_boutique/residentiel/glossaire/test.php

Et là ça devient encore plus intéressant puisque l'on obtient sur page :

Page introuvable : docs/php/racine_boutique/residentiel/glossaire/test.php

Cela ressemble quand même à une Partial FPD, autrement dit un leak partiel de l'architecture du site.

Note : Si un technicien Orange passe par là ne sait on jamais, j'ai "404 not found" pour : https://boutique.orange.fr/Css/eshop_header.css


Encore heureusement, si vous testez d'afficher le traditionnel /etc/passwd, vous obtenez un petit :

Response code 403

Là on pourrait s'arrêter et dire que c'est réglé mais j'ai 2 choses à ajouter :

  1. La famille de failles de type LFI est vraiment super vaste aussi bien dans l'exploitation que dans la forme.
  2. On peut bien faire des appels à d'autres fichiers.

Pour étayer ce second point, je suis allé chercher sur Google ( oui je sais ! ) d'autres URLs sympas pour La Boutique Orange histoire de vérifier tout de même.

En voilà 2 :

  1. https://boutique.orange.fr/ESHOP_c3cmx_orange/?tp=PAN&id=72251370580539&donnee_appel=ORESH&devise=&type=&IDCible=1&menu-gauche=tpl_menu_gauche.php&page-suivante=ESHOP_cart/coordonnees.php
  2. https://boutique.orange.fr/php/racine_boutique/siteNegus/professionnel/DPT_80/ZLE_CT_80021.htm?commune=SOURDON&insee=80740&desc=&espace=

Ce fichier php/racine_boutique/siteNegus/professionnel/DPT_80/ZLE_CT_80021.htm a une empreinte très intéressante car très similaire à la première mise en avant donc c'est parfait pour faire le test.

Et cela marche bien car vous verrez la page html s'afficher dans la page et non passer en redirection. Ce qui est intéressant du coup, ce serait de tester massivement en récupérant des URLs avec un dork du genre :

site:boutique.orange.fr

Il serait intéressant de se connecter à un compte et de faire des tests plus amples avec davantage d'URLs et de paramètres.

Article Suivant Article Précédent