Авторские статьи Просто, история из жизни.

Discussion in 'Статьи' started by The matrix, 6 Jan 2009.

  1. The matrix

    The matrix Elder - Старейшина

    Joined:
    9 Jul 2008
    Messages:
    93
    Likes Received:
    186
    Reputations:
    138
    :::Просто история из жизни:::​

    Думаю кто-то да и извлекет что-нибудь полезное для себя из данного креатива, а кто-то... Не очень... Статья расчитана очевидно для первых ;)

    :::Поехали:::

    Дело было не очень давно. Занимался я продажей шеллов, и в одни момент человек, с которым я довольно давно работал попросил получить шелл на одном из ресурсов в зоне edu, гонорар обещал не маленький, раз такой гонорар, я подумал, что и работу не простая, но свободного времени было много и я взялся за это дело. Сначало пробежался по ресурсу быстренько и как я и ожидал ничего серьезного не нашел, кроме одной пассивной XSS, но это не серьезно.
    :::Надо смотреть глубже:::

    Как ни пробовал ничего успешного не выходило, также на ресурсе я обнаружил форум IPB, но версия была новая и в паблик багтрэках ничего о ней сказано не было... вскоре я глянул в сурсы главной страницы сайта и обнаружил там такую надпись: powered by ******Cms . И я уже четко представлял, что меня ожидает дальше, а именно: Нужно порыться в исходных кодах либо этой цмски, либо форума. Со вторым желаний связываться не было, так как найти уязвимость там будет очень уж не просто, гораздо разумнее найти исходные коды CMS'ки, она была мне не известна, я и подумал, что будет проще. Пошел искать ее исходные коды, но это было тоже проблемно по полученным данным я узнал, что CMS'ка платная, но после 10-минутной прогулки по гуглу, я нашел где взять ее бесплатно. Также я попробовал reverse ip, хостилось с нами ещё 3 сайта. Но это я решил оставить на крайний случай.

    :::На локальной машине:::

    Я быстро начал устанавливать CMS на локалхост, сделав это я принялся изучать ее. В дирректории с сайтом я обнаружил папку install, а при окончании установки не оповещали о том, что эту папачку надо стереть, ну я и подумал начать с нее :) Открыв скрипты на обзор по началу ничего не находилось, все было грамотно. Но в конце концов я смог обнаружить одну из уязвимостей, причем довольно серьезную. Скрипт */install/write.php
    PHP:
          $code $_POST['code']; 
           eval(
    "\$arn = $code;"); 
    Вообще $arn была уже определена изначально значением из бд. Я думал, что ниче не выйдет но это не так на самом деле. Я послал post'ом скрипту write.php значение code=phpinfo() и я наблюдал phpinfo, оказывается значение без труда переписывается.
    Не успело пройти и 5-ти секунд как в моем браузере вместо локалхоста был открыт сайт, который требовалось взломать...Но к сожалению хоть предупреждений не было, но инстлалл был снесен, а значит халявного шелла мы так просто не получим. Пришлось вернуться заново к локалхосту(Вообще в будущем с помощью этой баги я получил несколько шеллов на других ресурсах, но эт другая история). На этот раз искать в инсталле уязвимости не имело смысла. Не прошло и часа как я нашел новую уязвимость. в скрипте.
    */languages/cslanguage.php
    В самом скрипте багов нет, но инклудит в себя
    */languages/system.php
    А в нем.
    PHP:
    $lang $_GET['language'];
    и ниже
    PHP:
    include(CMSDIRRECTORY.'/languages/'.$lang.'.php');
    В самом скрипте на $lang наложена проверка, но это уже не спасает ситуацию, так как уязвимость уже была в файле который инклудится в cslanguage.php, и выполняется соответственно первее.
    и результат вполне рабочий инклуд.
    http://site/languages/cslanguage.php?language=[file]%00
    Также в новостном скрипте был найден баженый fopen.
    PHP:
    $mynew $_GET['nw']; 
    $fopp fopen("$mynew""r")
    далее шел построчный вывод на страницу через цикл.
    Но к сожалению не все строки а только несколько первых.
    Code:
    http://localhost/denwer/site/news/news.php?nw=../configuration.php
    Должен читать конфиг. И опять не прошло и 5-ти секунд как локалхост сменился реальным сайтом. Эта уязвимость присутствовала
    Code:
    http://site/news/news.php?nw=../configuration.php
    Считывал конфиг, но толку от него не было не стояло ни phpmyadmin и прочего добра, которое могло бы нам хоть как-то помочь заюзать конфиг, удаленно не подключиться.
    :::Используем дальше полученное:::

    Code:
    http://site/languages/cslanguage.php?language=../../../../../../../../etc/passwd%00
    файл passwd прочесть получилось.

    Далее я обнаружил форму заливки картинок для альбома.
    Code:
    http://site/img.php
    недолго думая, я залил туда картинку, содержащую php код, с целью проинклудить ее. Наблюдать картинку я мог.
    http://site/images/img.jpg
    Заливать кроме gif, jpg, bmp ничего было нельзя и в этом нет ничего удивительного.
    Code:
    http://site/languages/cslanguage.php?language=../images/img.jpg%00
    Я наблюдал шелл. Но не тот, который хотел бы видеть. На сервере стоял апач и права его были не ахти. Много чего я сделать не смог. А предъявлять заказчику это г. мне было просто не удобно.На непохеке не хотел останавливаться, и я решил пойти дальше. В моих данных был файл passwd юзеров было не много. Но я решил пробрутить фтп. Ненавижу брутить, но все же решил попробовать эту идею, а вдруг. Я составил список для брута и помимо добавил не большой словарь. И начал. Через два часа наблюдаю: Один ftp аккаунт срублен. Если не ошибаюсь логин был djRos. Я врубил фтп клиент... Акк подошел. Но тут я просто не понял одной вещи. А именно в какой дирректории я нахожусь :confused: и как к ней обратиться через браузер(если таковое возможно). Я не стал заморачиваться и попробовал эту связку user:pasword к ssh. И тут все было норм меня успешно приняли за своего.
    :::Развязка:::

    Этот ssh пользователь имел довольно высокие права. И самое интересное. В таких дирректориях /etc почему-то были многие файлы открыты на запись. Причем таким образом, что мне хватило возможностей добавить пользователя в систему с правами root. Вот это уже было хорошо. Я отдал заказчику root ssh доступ(он явно не ожидал такого) и забрал свой заслуженный гонорар. Это был первый edu который я взломал первый. Остальные, которые мне поддавались, были уже кем-то взломаны до меня.
    на этом все. Надеюсь, что хоть кому-то креатив понравится.
    pps: Идею писать подобного рода статьи я нагло С*****Л c ][. А чем я их хуже?
    (цэ)
     
    #1 The matrix, 6 Jan 2009
    Last edited: 7 Jan 2009
    4 people like this.
  2. Xcontrol212

    Xcontrol212 Elder - Старейшина

    Joined:
    13 Feb 2008
    Messages:
    254
    Likes Received:
    110
    Reputations:
    7
    статья описана хорошо
    а всё что за cms была?
     
  3. The matrix

    The matrix Elder - Старейшина

    Joined:
    9 Jul 2008
    Messages:
    93
    Likes Received:
    186
    Reputations:
    138
    Потом выложу в уязвимостях платных движков уязвимости, ток позже, один человек просил пока об этом умолчать ;)
     
  4. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    Не совсем понятно как ты прочитал конфиг php через include
    То-же самое, может я что-то пропустил, или не понял?
     
    2 people like this.
  5. The matrix

    The matrix Elder - Старейшина

    Joined:
    9 Jul 2008
    Messages:
    93
    Likes Received:
    186
    Reputations:
    138
    С первым
    ага...ща пересмотрю все. Просто ломал не сегодня и не вчера, писал по памяти . Там действительно не через это конфиг читался, а по другому. Ща установлю заново дистрибутив пересмотрю.
    // все норм. спс

    Со вторым, поправил в статье просто не правильно выразил мысль.
    Щас на всякий пожарный все заново пересмотрю, установлю двиг, чтоб вся информация была достоверной ;)
     
    #5 The matrix, 6 Jan 2009
    Last edited: 7 Jan 2009
  6. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    192
    Likes Received:
    675
    Reputations:
    333
    юморим по-хакерски (с)
    &
    ...
     
    1 person likes this.
Loading...
Similar Threads - история жизни
  1. DarkDrago
    Replies:
    0
    Views:
    4,764
  2. GRRRL Power
    Replies:
    111
    Views:
    29,544
  3. |qbz|
    Replies:
    55
    Views:
    64,306
  4. _Great_

    Авторские статьи Жизнь после смерти

    Replies:
    6
    Views:
    6,012