Доброго времени суток, дорогой hax0r!
Вот и настало время рассказать о взломе известного хостинга www.radiant.net.

Всё началось с того, что одним теплым весенним
днём я как обычно бороздил просторы нашей великой сети. Бороздил, бороздил, но ничего интересного я не находил. И вдруг...
Я попадаю на сайт www.victoryland.com. Сайт этот ничем не
примечателен, но на нем обнаружился замечательный скрипт uploader.cgi. Этот скрипт был самописным
(вероятно написан админом сайта), и в нем не было проверки на расширение файла. Я, не долго думая, загрузил к ним на сервак свой любимый remview.php (кстати, очень удобный скрипт для администрирования через веб-интерфейс,
скачать его можно на http://php.spb.ru/remview/).

Основная трудность состояла в том, чтобы найти директорию куда был загружен скрипт =( , но помучавшись минут пять я таки нашел эту папку. На моё счастье, сервер поддерживал PHP, и поэтому я без проблем загрузил скрипт! Вуа-ля, и перед мной в удобоваримом виде текущая директория... Т.к. скрипт
позволяет исполнять команды на сервере, я без проблем узнаю свои права...
Обнаружилось не слишком приятное, сервер был запущен из-под nobody, а я имел права сервера =(( Это меня огорчило, ведь у меня минимальные права, но это не мешало мне путешествовать по серверу.

Первым делом я изучил строение сайта. Но ни кредов, ни паролей от FTP мне раздобыть не удалось =( ... Зато я нашел интересные директории, которые были закрыты через .htaccess (на меня он не
распространялся). Выяснив, что .htpasswd лежит там же, я извлек из него логины и пароли доступа, и скормил их своему любимому John the Ripper, но долгие часы ожидания не дали результата =( John так и не смог их расшифровать. Но тут я совершил небывалое открытие!
🙂 Файл .htpasswd был доступен мне на запись =) Это обстоятельство меня обрадовало. И теперь мне оставалось добавить своего юзера, со своим паролем
(шифрованным), но вот неувязочка - под рукой
не было рабочего *nix'a и негде было взять этот самый пассворд
(не самому же его шифровать, хотя идея хорошая =)).
Пришлось мне дальше пускаться в поиски по сайту...
Наконец я нашел папку в которой тоже был .htpasswd с логином-bbwb
(кстати, папка тоже называлась bbwb). Путь к ней www.victoryland.com/bbwb Я решил проверить, может и пассворд
такой же. И после ввода логина и пассворда система пропустила меня в каталог. Все. Я мигом поменял все пароли на сайте на этот известный мне и начал увлекательный процесс путешествия уже не через remview.php, а через своего старого ослика...

Первая папка, куда я заглянул, была www.victoryland.com/.admin (не
забудьте точку перед admin). Это оказался что-то вроде формы администрирования сайта.
Там был доступ ко всем каталогам сайта, в том числе и
каталогам пользователей сайта. Почти ко всем ним я имел полный доступ, но две ссылки обозначенные "no user access" мне не понравились, во-первых, они ссылались на другой сервер, а во-вторых, я не мог получить к ним доступ. Ну думаю, ладно! Сделаю дефэйс и пойду спать...
Но прежде оставлю себе лазейки =) , и я поочерёдно загрузил в каждый каталог remview.php (ну мало ли что)..
На следующий день админ снял мой дефэйс и поменял все пароли на сайте. Я
по новой загрузил remview.php и снова начал изучать сервер... 

На сервере оказалось больше 200 сайтов, но к ним я не имел доступа
(пока-что). Потратив на изучение архитектуры сервера почти час, я не нашел ничего полезного. Но мне не давали покоя
те две папки, к которым я вчера не смог получить доступ...
Одна ссылалась куда-то далеко =), а вот вторая на этот же сервер, но куда, я не мог понять-
web40.topchoice.com/cgi-bin/user.html. Напрягая свои пропитые и прокуреные мозги я вспомнил, что видел подобное в одной из папок (/web/cgi-bin/).Я сразу же перешел с этот каталог и действительно там был этот скрипт...
Изучив его код (наш добрый Perl) я понял, что это общий скрипт авторизации для управления любым сайтом на этом хостинге... Тут у меня уже начало пересыхать горло только от одной мысли какие возможности я получу =)) Я быстро сбегал за баночкой пива и продолжил свои поиски. Скрипт получал пару логин:пароль и сверял их с парами из
какого-то файла... Выяснив где он лежит, я направился туда, но каково было моё удивление когда я увидел что пароли в
файле были в не зашифрованном виде!!! Это было лучше чем я мог себе представить. 

Я подефэйсив пару сайтов, и скопировав базу паролей, пошел спать...
На следующий день, отправив сообщение о взломе на некоторые хакерские-сайты,
я взялся за написание этой статьи... Вот и все, так мной был взломан хостинг
www.radiant.net.

Хочется отметить Foster'a из GipsHack за активную помощь во
взломе...

Check Also

Дырявые диски. Эксплуатируем уязвимости в сетевых хранилищах Synology

Защита данных, приватность и соответствие нормам безопасного хранения информации — то, над…

Оставить мнение