Введение
В этой статье я бы хотел рассказать о взломе одного развлекательного портала.
Цель - не научить каким-то методам взлома (они здесь более чем стандартные), а показать, что далеко не всегда крупный сайт - значит безбажный сайт, как многие считают и что не стоит отчаиваться, когда, казалось бы, взлом не удался.
Итак...
Тело
На сайт этот я попал мимоходом, копаясь в гугле. А именно, ища какое-то видео.
Ссылка была следующего вида:
Код:
http://site.com/comments.php?t_key=3187&base=clips
Почему-то мне сразу расхотелось смотреть видео и крутнул страницу вниз..
Там я грустно отметил счётчики посещаемости со значениями около 5000. Но всё же, рука автоматически потянула курсор к адресной строке, и я ввел кавычку вместо clips.
Ничего не последовало. Далее я ввел кавычку в параметре t_key и вот что выскочило:
Код:
Внутренняя ошибка системы, возможно сервер перегружен. Попробуйте позднее
Для проверки я ввёл 3188-1 и увидел тот же контент, что и при 3187!
Да, это была скуль)
Я тут же принялся копаться. Сначала я не заметил вывода полей и долго парился с blind'ом, пока не осознал, что вывод есть.
Всё было просто идеально - order by и union select не отфильтрованы, версия MySQL 5-ая, так что скоро я узнал количество столбцов - 7, а через INFORMATION_SCHEMA шустро вытащил название таблицы - admins.
Поля таблицы я просто угадал с первого раза.)
Запросы:
Код:
http://site.com/comments.php?t_key=-1+order+by+7/*&base=clips
Код:
http://site.com/comments.php?t_key=-1+UNION+SELECT+1,2,table_name,4,5,6,7+FROM+INFORMATION_SCHEMA.tables+LIMIT+23,1/*&base=clips
Код:
http://site.com/comments.php?t_key=-1+UNION+SELECT+1,2,concat(name,0x3a,pass),4,5,6,7+FROM+admins+LIMIT+0,1/*&base=clips
К моему великому удивлению пароли даже не были расшифрованы!)
Итак, через пару минут я уже сидел с аккаунта главного админа и создателя сайта и искал админку.
Вернее я нашел директорию /admin/, в которой торчала пара ошибок PHP и были поля логин и пароль, которые отсылались на главную. То есть вышел облом.
Но тут я заметил форум на PHPBB. Вскоре я нашел ник второго юзера (он же создатель), и к его аккаунту подошел тот же пароль!)
Оставив на дедике слив БД, я пошёл спать...)
Финал
На следующий день я зашел на дедик и с удивлением обнаружил, что всё еще идет подготовка к сливу БД.
Обновив страничку, я обнаружил, что форума нет!!!
Он просто удалён! Я так и не понял, каким образом это произошло - то ли ошибка во время слива, то ли DUN, которому я дал данные, постарался..)
Я был в недоумении - ведь я даже не успел залить шелл! (А сделать это было легко - в восстановлении БД, ибо версия была уж очень старая).
Я начал искать пути для заливки шелла на самом сайте - в заливке фоток, музыки, видео...
И вдруг я обнаружил, что двиган не фильтрует .php-файлы в заливке видео.
Но когда я заходил на страницу с видео, там было шаблонное приветственое видео движка, а далее - ничего.
Я стал анализировать HTTP-заголовки для того, чтобы понять, откуда качается видео и найти шелл, но безуспешно - нужного адреса в заголовках я не нашёл.
Итак, я оказался в полном обломе в полном объёме..
Правда чуть позже я обнаружил другой форум на IPB, но пассы туда почему-то не подходили, а через скуль выдавало уже хеши. Расшифровать не получилось.
Я уже забил на это дело, как вдруг, через пару дней, зайдя на этот сайт, я заметил внизу страницы копирайты создателя и ссылку maito: на e-mail адрес админа!
Я проклинал себя за свою тупость, что до сих пор не подумал об этом, и дрожащими пальцами ввёл в GMail известный логин и пасс от сайта - он подошёл!
Вот и всё - в мыле огромная куча данных - от FTP и панели управления этого сайта и других сайтов (например предприятия о защите информации с тИЦ 425) и до аккаунтов ВКонтакте и Одноклассников.
Дело было сделано - оно закончилось довольно неожиданно и легко!)
P.S. Статья выложена исключительно в ознакомительных целях. Всё содержание считать художественным вымыслом!