Xakep #305. Многошаговые SQL-инъекции
Как выяснилось, Rafl's Chat содержит многочисленные дырки безопасности, начиная от просмотра скрытого пароля и до возможности "прочитать" конфигурацию CGI.
Master password:
CGI содержит дефолтовый мастер-пассворд (по умолчанию: mpw), если этот пароль вводит юзер, то он получает все права модератора/оператора.
Configuration reading:
Из-за отвратительных установок прав для различных пользователей хакер может прочитать файл config.pm, который среди прочих установок содержит мастер-пассворд.
Пример:
http://www.example.com/cgi-bin/config.pm
Установки пользователя:
Получая http://www.example.com/cgi-bin/data/nicks хакер может получить доступ к файлу конфигурации, который выглядит примерно так:
Daniel;;mypassword;;daniel@wischnewski.net;;Mon Jul 10 07:39:45 2000;;963240000;;10;;standard;;;;;;0;;;;149.225.26.75;;0
Test;;tester;;test@temp.com;;Mon Jul 10 09:05:12 2000;;963240000;;10;;standard;;;;;;0;;;;212.68.121.195;;0
Yet;;another;;yet@another.com;;Mon Jul 10 11:24:48 2000;;963240000;;10;;standard;;;;;;0;;;;198.195.137.145;;0
Как можно видеть, первое зарегистрированное имя было "Daniel", его пароль "mypassword", мыло "daniel@wischnewski.net", дата регистрации 10 Июля 07:39:45 pm, IP 149.225.26.75. Другие записи аналогичны.