Используем уязвимость в VP-ASP shopping cart software.

28 Мая 2002 года в рассылке от VulnWatch появилось известие о найденных ошибках в VP-ASP shopping cart software. Однако, там не полностью была раскрыта информация, с помощью которой можно было найти местонахождение базы. Сама ошибка состояла в том, что доступ к shopdbtest.asp может получить любой человек, а не только администратор. С помощью этого диагностического средства (а оно предназначено именно для тестирования базы данных на запись, чтение и т.д.) можно узнать имя и МЕСТОНАХОЖДЕНИЕ (именно это не было раскрыто в уведомлении) базы данных с информацией о клиентах.

По уведомлению, базу данных можно было взять по следующему пути:
http:// [vp-asp site] / [ vp-asp dir] / [ xDatabase + .mdb ].
Но полностью это выглядит так:
http:// [vp-asp site] / [ vp-asp dir] / [xDblocation][ xDatabase + .mdb ]

Рассмотрим на примере сайта http://shopping.littleleague.com/ . Идем по урлу http://shopping.littleleague.com/shopdbtest.asp. Перед нами открывается форма. В поле xDatabase находится имя базы данных, а в поле xDblocation путь к ней. Дело в том, что база доступна для чтения любому пользователю, нужно просто знать откуда читать, а многие "администраторы" кладут эту базу в веб каталог, т.е. мы тоже можем ее прочитать :). Так вот, видим, что имя базы данных shopping350, нужно только добавить расширение .mdb, т.е. shopping350.mdb, а поле xDblocation пустое, значит база лежит в текущем каталоге. Пробуем http://shopping.littleleague.com/ shopping350.mdb. Качаем...

Открываем с помощью MSAccess (лучше 2000, потому что попадаются базы как 97 так и 2000) Обычно информация о кредитных картах лежит в таблице Orders. Но вероятность того что в этих базах есть креды 50 на 50. Т.е. вы можете качнуть базу на 11 Мб но кред там не найти =(.

Еще один пример. Именно с применением xDblocation.
Идем на http://www.thomasgolf.com/shopping/shopdbtest.asp. Видим: xDatabase- shopping, xDblocation - db. Подставляем данные в урл, получаем:
http://www.thomasgolf.com/shopping/db/shopping.mdb. Качаем...

Сайтов с подобной уязвимостью хватает. Однако попадаются умные админы и в поле xDblocation мы можем увидеть что-то на подобие ../../../base, например http://www.slimgoodbody.com/shopping/shopdbtest.asp, тут xDblocation равен ../../database, т.е. базы лежат выше вебдиректории и нам до них не добраться.. Тут можно попробовать пароли по умолчанию. Для этого идем на страничку http:/ / [ host ] / [ vpasp dir ] /shopadmin.asp и там пробуем логины и пароли по умолчанию - vpasp/vpasp или admin/admin. Честно скажу мне попадались такие сайты где это проходило. Так что стоит попробовать...

Еще. Если вы качнули базу, то там, в таблице tblUser, вы можете посмотреть логины/пароли админов/пользователей и зайти поадминистрировать через вебинтерфейс, а также посмотреть обновления... Бывают ситуации когда все это не работает. Даже когда вы подставили путь и имя базы. Иногда путь выглядит так C:\Database. Или имя базы вроде DNS=всякая чушь.. Тут ловить нечего =(. Встречается так же Read Access Denied. Пробуйте пароли по умолчанию.

Да - кредитные карты без cvv2. И еще советую найти надежный прокс с поддержкой https.

Вот в общем-то и все. Если будут вопросы - пишите (rashray@inbox.ru). Удачи..