Описание взлома на конкретном примере 

     Итак  хватит  теории  переходим  к  практике.  Сегодня я расскажу как мы с gr4sp3r'ом ломали один небольшой
     сайтец.  Мысленно  перенесёмся  во второе января 2003 года. Недавнее наступление нового года было встречено
     шумно и весело, пиво и водка лились рекой, девчонки раздева... эээ что-то меня не туда понесло. Значит сижу
     я  в  инете  просматриваю сайтики и тут граспер скидывает мне инфу о баге в eUpload. Чтож запускаю copernic
     ввожу  eupload  и  начинаю  искать.  Найдено  было много сайтов на которых был данный дырявый скрипт и мы с
     граспом  начали  их проверять. Буквально сразу попались несколько сайтов у которых логин и пароль на скрипт
     были:  admin  -  admin.  Остаётся  только  удивляться  тупости админов. Скидываю линки граспу а сам начинаю
     возится  с  www.mindactive.com  заползаю  по ссылке www.mindactive.com/cgi-bin/upload.cgi жмахаю на кнопаре
     admin и ввожу admin в качестве логина и пароля. Хрен мне. Не пускает. Хых... Нас таким не напугаешь =) Лезу
     по  ссылке www.mindactive.com/cgi-bin/password.txt (читайте про багу в eUpload) Опаньки. Получаем пароль от
     скрипта.  Опять лезу www.mindactive.com/cgi-bin/upload.cgi и перехожу в раздел администрирования. Там можно
     поменять  логины  ,  пароли  юзверей  а  также  папку  в  которую  они  заливают  своё файло. Меняю папку с
     /web/sites/www.mindactive.com/web/tmp/  на  /web/sites/www.mindactive.com/web/  т.е. теперь я могу заливать
     файло  в  корень  сайта.  Отлично.  Заливаются  обычные для таких ситуаций скрипты: shell.php и shell2.php.
     Теперь  пройдя  по  ссылке  www.mindactive.com/shell.php  мы получаем удобное средство просмотра содержания
     сервака  и какие-никакие права =) Лады... сразу просматриваются /etc/passwd , /etc/shadow как и ожидалось в
     passwd  паролей  нет  а  для shadow прав не хватает. Эээх. Скидываю линк граспу и мы вдвоём начнаем изучать
     строение  сервака.  А...  чуть  не  забыл,  в папке /web/sites/ на данном сервере лежат каталоги 27 сайтов.
     Грузим  www.mindactive.com/shell2.php  начинаем искать. Команды locate test , locate shadow , locate pass ,
     locate sql , locate db. Эти команды позволяют нам найти файлы в названии которых содержится test или shadow
     и  т.д. Но никаких особо интересных файлов найти не удалось =(. Попробовал изменить index.htm облом прав не
     хватает  =(  Заливаю  скрипт cmd.pl написаный на перле в надежде что получится получить более высокие права
     чем скрипты на php , через shell.php ставлю атрибуты 755 пробую запустить... опять облом владельзем скрипта
     проставлен  httpd  а  он  прав на запуск не имеет. Начал просто лазить по серверу в поисках папок и файлов.
     Через  некоторое время натыкаюсь на каталог /cgi-bin/AdminPro/ это интересно. В браузере открываю эту папку
     и  попадаю  в  прогу  AdminPro  v2.6  сам  я  её  видел  в первый раз, но мысля возникла =) С помощью проги
     проставляю  атрибуты  на  cmd.pl.  Смотрю... отлично владельцем файла проставлен admin а он права на запуск
     имеет.   Запускаю   через   браузер   cmd.pl   ...   ввожу   id   и   вижу:   uid=110(admin)  gid=27(admin)
     groups=27(admin),10(wheel)  чтож  это  не  рут  но  всё  равно лучше чем ничего. Теперь у нас есть права на
     запись.  По  аське  говорю  грасперу чтоб рисовал дефейс и звёздочки на компе =) Граспер побыстрому создаёт
     дефейс  и  заливает его на сайт через уже знакомый скрипт eUpload. Теперь необходимо эту индесную страничку
     засунуть во все каталоги сайтов на серванте. Запускаю cmd.pl и начинаю творить:
     cd /home/sites/www.adaptivesg.com/web/
     mv index.htm index-old.htm
     cp /home/sites/www.mindactive.com/web/index.htm index.htm
     cp /home/sites/www.mindactive.com/web/hersheykisses.gif hersheykisses.gif
     ( hersheykisses.gif - картинка дефейса )
     вот сайт www.adaptivesg.com и дефейснут =)
     Пока я повторял эти действия для всех 27 сайтов на сервере, граспер добавил взломы на воид.ру.
     Вот  так  и  был  провёрнут  этот в принципе не очень сложный взлом. Как видите для взлома не потребовались
     никакие  сканеры  уязвимостей, эксплоиты и т.п. Весь взлом произвёлся через браузер. Всё что нужно было это
     прямые руки, немного мозгов, удачи и умение искать, ну и пара скриптов. По моему мнению большинство взломов
     происходит именно через браузер, ручками.
     Ну всё удачи...

     Описание баги в eUpload от gr4sp3r'а :
     ///////////////////////////////////////////////////////
     eUpload
     Version 1.0
     Сайт разработчика: http://www.ftls.org
     ///////////////////////////////////////////////////////
     Уязвимость данного скрипта в наличии файла password.txt
     в пакете:

     1) COPYING: Copyright informations (GPL).
     2) README: This file.
     3) LISEZMOI: French doc...
     4) upload.cgi: upload script. (сам скрипт)
     5) upload.html: HTML Upload form. (HTML форма)
     6) password.txt: Password file. (файл паролей)

     Файл паролей password.txt по умолчанию разрешён для чтения.
     В нём хранятся НЕ зашифрованные пароли... чаще всего там есть guest
     доступ и Root доступ, смысл скрипта в том, что закачиваемые файлы "падают"
     в каталог предусмотренный скриптом, но там же в форме есть ссылка Admin по ней
     можно поменять папку входящих файлов (тоесть в каталог с сайтом). И ещё
     Через форму можно посмотреть на содержимое каталога ссылка Listing и удалить файл.
     ///////////////////////////////////////////////////////

     З.Ы. Данная статья никоим образом не направлена на то чтобы толкнуть вас на взломы, будьте благоразумны, не
     нарушайте закон!






     Авторы: 1dt.w0lf & gr4sp3r
     ---------------------------------------
     RusH security team - http://rst.void.ru