Из учебника Биологии 1 класса:
"Тип Кривосидящие
Род Ленивцы
Вид Администратор-системный - существо по
своей сути важное, но ленивое..."
Ничего не имею против администраторов (даже хочу в
будущем им стать), но порой диву даешься, как много админов используют пароли типа
1234, qwerty и подобные. На патчи и прочие обновления они тоже забивают, вспоминают только тогда, когда их взломает какой-нить хакер. Причем винят во всем
в первую очередь самого хакера, а не себя. Мол
мог бы и нам сказать. Но иногда после написания письма с изложенной информацией об уязвимости админы тебя вежливо посылают. Нуда ладно хватит философствовать, перейдем к главному.
Началось все с того, что один мой друг попросил меня получить пароли админов на форуме www.motorolka.ru/forum. Якобы его кто-то там обидел. Я согласился попробовать, все равно делать было нечего, да и плата за задание не могла не радовать.
Набрав адресс www.motorolka.ru/forum я попал на сайт любителей телефонов фирмы Motorola. Форум был на движке phpBB версии 2.0.6. Это было хорошо, потому что версия старая и к тому же не пропатченная. Сразу вспомнилась статейка об SQL-инъекции,
благодаря которой становилось возможным увидеть md5-хеши пользователей, в том числе и администраторов. Уязвимым оказался скрипт privmsg.php. Зарегистрировавшись на форуме я осуществил инъекцию. Запрос выглядел следующим образом:
http://www.motorolka.ru/forum/privmsg.php?folder= savebox&mode=read&p=99&pm_sql_user=AND
pm.privmsgs_type=-99 UNION SELECT 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
0,username,0,0,0,0,0,0,0,0,0,user_password FROM phpbb_users WHERE user_id=2 LIMIT 1/*
Подставляя вместо user_id различные номера можно было увидеть хеш пасса пользователя с соответствующим id.
Подставив 2 я увидел имя администратора Pierre и хеш его пароля. Тут на помощь пришла программа md5-inside.Скормив ей словарь на 3 mb, я принялся ждать...
Через секунду у меня был полноценный пароль админа. Почему так быстро спросите вы? Просто админ не с мог придумать ничего сложнее, чем четырехзначное число (похоже, год его рождения). Залогинившись я направился в администраторский раздел. Здесь можно было скачать базу данных ~30 mb, повысить права, удалить пользователя и т.д.(Стандартный набор). Ну вот задачу я свою выполнил, заслуженное пиво получил.
Прошло несколько дней. Заглянув на сайт www.antichat.ru
увидел новость об обнаружении новой уязвимости в форумах phpBB до 2.0.10 версии включительно. Решено было испытать Моторолку. Суть ошибки заключается в выполнении произвольных
команд на сервере, то есть ошибка позволяла получить web-shell с правами nobody. Составив запрос:
http://www.motorolka.ru/forum/viewtopic.php?p= 123&highlight=%2527.$poster=%60$ls%60.%2527
&ls=id;uname%20-a;pwd;ls -la
Я получил шелл... Сервер крутился под Linux 2.6.9. Эксплоита вроде бы не было, поэтому пришлось довольствоваться web-shell'ом. Для удобства с помощью wget'а я залил в папку
templates (чтобы в глаза не бросалось) скрипт RemView. Моих прав nobody хватало для чтения и записи файлов. В файле config.php был обнаружен имя и пароль для доступа к базе данных mySQL. Доступ был и к выше лежащим файлам, таким образом можно было заменить главную страницу сайта www.motorolka.ru. Дальше последовал дефейс. Он простоял всю ночь, потом его убрали (быстро однако, может зря я бочку на админов качу?). Но пароли не сменили
:))
Поняв, что виноват форум, админы решили все-таки его обновить до версии 2.0.11. Хотя скажу вам по секрету, шелл у меня остается и по сей день (наверно не заметили).
Вот так приходится заставлять админов следить за безопасностью.
Ведь кто-нибудь другой мог бы просто удалить весь сайт.
Данная уязвимость актуальна и на сегодняшний день. Можете ради интереса
сделать в Google'е запрос по ключевым словам: powered by phpBB 2.0.6.
Он выдаст вам более сотни уязвимых форумов. Причем среди них будут не менее известные чем Моторолка порталы. Теперь любой продвинутый ламер сможет наломать кучу сайтов (ага, пока
ангелочки из ФСБ не поймают), зная лишь основные команды Unix систем. Вот так!
