                                                Захват хостинга

     Ситуация,  хакер  взламывает вёб-сайт подчищает логи, меняет index'ную страницу. Затем зеркалирует сайт ( к
     примеру  на  void.ru)  и  все  довольны.  Но, не всегда на "машине" находится лишь 1 сайт. Чаще всего сайты
     размещаются  на  хостингах,  для  более  понятного  разъяснения  это  1  компьютер,  на  котором выделяется
     определённое пространство для размещения сайта.
     Рассмотрим  примерную  архитектуру  хостинга. Чаще всего каталоги сайтов размещаются в папке "/home". Также
     каждый каталог имеет своего владельца. 
     
     Например:
     Содержимое папки /home

     Folder     Owner/Group
     /site1.com site1/site1
     /site2.com site2/site2
     /site3.com site3/site3
     /site4.com site4/site4

     Разумеется  не  всегда  название  каталогов будет аналагично названию сайтов, они могут быть какими угодно.
     Соответсвенно  доменные привязки можно посмотреть в файле /etc/domainaliases или /etc/aliases или в конфиге
     Apache, в общем надо искать.
     В самих каталогах сайтов архитектура аналогичная.
     
     Например:
     Содержимое папки /home/site1.com
     
     ./
     ../
     /www_public - Тут лежат доступные файлы http
     /ftp_public - ftp
     /etc - сдесь могут лежать пароли доступные для чтения owner'ом каталога
     /mail
     И файлы конфигурации.
     
     Итак, здесь мы вроде немного разобрались теперь перейдём собственно к захвату. Значит так, для этой цели мы
     будем использовать знаменитый скрипт remview.php Данный скрипт позволяет просматривать ВСЕ директории и ВСЕ
     файлы  на  сервере, если только хватит прав, но в основном прав хватает для просмотра многих файлов конечно
     за  исключением  /etc/shadow,  также  часто бывает, что администраторы делают бэкапы паролей, для прочтения
     которых  хватает прав. Также на сервере находятся много файлов с важной информацией которые могут послужить
     для добычи паролей.
     Ну    вот    например   ты   закачал(а)   =)   remview.php   на   сервак,   теперь   его   надо   запустить
     http://www.site1.com/remview.php  если  всё  прошло успешно ты увидишь полный путь к каталогу где находится
     скрипт, а также все файлы и каталоги.
     
     Например:
     /home/site1.com/www_public/

     /cgi-bin/
     index.html
     remview.php

     Также к каждому файлу будут указаны атрибуты, группа и владелец. Дальше ты сможешь перемещатся по каталогам
     сервера. Далее можно действовать двумя путями:
     1) Получить права root на хостинге и захватить все сайты.
     2) Захватывать сайты по отдельности.
     
     Рассмотрим первый путь:
     Для  начала  нужно  определить с какой OS мы работаем для этого закачиваем ещё один скрипт phpshell.php или
     cmd.pl  и  вводим  команду  uname  -a  (за  очень  редким  исключением  команда может показать фэйк, админы
     специально  маскируют).  Далее  если  ОС  уязвима можно подобрать local root exploit если таковой есть есть
     смысл  попытаться применить его для этого нужно получить shell но уже не на php. Заливаем на сервер bd.c, в
     phpshell  компилируем  его  gcc  bd.c  -o  bd  и запускаем ./bd (порт) (пароль). Если на серваке установлен
     компилятор  то  всё  получится и можно будет коннектится неткатом на сервер. В противном случае можно будет
     попытаться  сделать  шелл скриптом perl, закачиваем shell.pl и запускаем в phpshell.php perl shell.pl (порт
     прописывается  в  самом  скрипте).  Есть  ещё  скрипт  на  perl  bd.pl  он  запускается через вёб интерфейс
     http://www.site1.com/bd.pl?port тока не забудь поставить права на запуск. Далее заливаем локал рут эксплоит
     компилируем,  запускаем.  Если всё "фокс" то ты r00t, делай что хочешь. Конечно хочется отметить нашумевшую
     уязвимость в ядрах линукс < 2.4.20 kmod/ptrace если линукс подходит по версии рут тебе обеспечен.
     
     Рассмотрим второй путь:
     Чаще всего в директории всех сайтов есть файлы .htpasswd или в папках /_vti_pvt файл service.pwd но может и
     не  быть но тут может получиться облом так как в другие каталоги с другими владельцами вас могут не пустить
     например  /home/site2.com/  вас  не  пустят,  но  зато могут пустить в /home/site2.com/www_public этим мы и
     воспользуемся.  К  примеру  закономерность такая, вв директории /www_public/ есть файл .htpasswd достаточно
     написать  простой  сценарий  на perl чтобы скрипт собирал все .htpasswd и записывал их в 1 файл. Собрав все
     пароли дело остаётся за малым расшифровать пароли john the ripper'ом.

     P.S. Вот теперь мы имеем хоть какое-то представление о взломах хостингов.


     Автор: Gr4sp3r
     ---------------------------------------
     RusH security team - http://rst.void.ru