- А в чём сила, брат?
- А вот в чём: в деньгах вся сила, брат! Деньги правят
миром, и тот сильнее, у кого их больше!
Брат 2
Граждане, храните ваши деньги в сберегательных кассах.
Мамаша, пройдёмте в закрома.
О. Бендер
Интернет, как известно, это и огромная свалка и золотое дно одновременно. Что
правит миром? Что самое главное в жизни и, пожалуй, в интернете? Ответ – деньги.
Хотя, Данила Бодров со мной не согласился бы. 🙂 Чтобы добыть денег надо
взломать систему, которая бы производила операции с валютой, и желательно без
такой крутой защиты как у eBay. В качестве жертвы я решил выбрать сайт
fibo-forex.ru.
FOREX (Форекс)- это аббревиатура (сокращение) от англ. "foreign exchange", что
переводится как "международный обмен". Рынок Форекс представляет собой
совокупность различных торговых, инвестиционных и спекулятивных операций с
валютой, реализующихся через систему институтов (центральные банки, коммерческие
банки, инвестиционные банки, брокеров и дилеров, пенсионные фонды, страховые
компании, транснациональные корпорации и т.д.)
Forex не является в полном понимании биржей, поскольку представляет собой сеть
торговых отношений, не привязанный к определенному "физическому" месту торговли.
Рынок forex работает 24 часа в сутки 5 дней в неделю. Сделки на покупку продажу
валюты происходят между основными участниками: крупными банками -
инвестиционными фондами, их клиентами напрямую, а также с помощью посредников.
Объемы операций на этом рынке по некоторым оценкам составляют более триллиона
долларов в день, большая часть из которых проходит в финансовых центрах:
Великобритании, США и Японию. Большинство сделок на этом рынке происходит не с
целью реального приобретения валюты, а с целью получения прибыли на разнице
валютных курсов.
Для начала я узнал ip адрес сайта - 83.222.4.48. Введя его в браузер я получил
страничку хостера www.euroweb.ru. Стало понятно, что на одном аккаунте с
форексом крутятся еще несколько сайтов. Обратившись к сервису domainsdb.net я
узнал, что на одной площадке с fibo-forex.ru хостятся - fibo.ru; forex-study.ru;
fibogroup.com; www.fibo-forex.lv; www.fibo.kz www.spb.fibo-forex.ru…. Контент
этих сайтов был 100%-но схожим с fibo-forex.ru. Как я позже выяснил у конторы
был тарифный план – VIP – а это включает, цитирую:
- Место на диске (Мб) - 2000
- Оборудование Intel Xeon Server Platform at 2GHz и выше, 1GB ECC RAM и
более - 24/7/365 NOC Мониторинг Сервиса
- Доступ с мобильных телефонов по WAP
- Профессиональную консультационную помощь
Ценность представляют аккаунты трейдеров. Моя цель – любой ценой заполучить
их. Еще на сайте было две админки, которые представляли ценность - fibo-fifex.ru/admin;
fibo-forex.ru/mtc2/admin… Пароли находятся в БД в открытом виде.
Начинаем исследовать сайт на предмет инклудов. Ничего…Движок у паги стоИт
наверняка дороже хостинга и программеры позаботились о безопасности. Я зашел на
страничку «Управление счетом через сайт» fibo-forex.ru/mtc2. Мне надо узнать
только номер счета и пароль, не надо никаких сертификатов, ключей и прочего…
Единственная зацепка - форум. Он представляет собой phpbb, но я уже забыл когда
ломал подобный форум. Все уже давно пропатчились или снесли его нафиг. На
форексе он оказался защищенным от уязвимостей против download mod; xss… В
багтраке совсем недавно появился новый эксплоит от RST
phpBB <= 2.0.17 remote
command execution. Он срабатывает, но довольно редко. Для того, чтобы сплоит
работал надо:
- PHP 5 < 5.0.5
- register_globals=On
- magic_quotes off
Скрещиваем пальцы и запускаем…
C:\>exploit\217.pl http://fibo-forex.ru/forum/ id
PhpBB <= 2.0.17, PHP 5 < 5.0.5 remote command execution e
Done. User r57phpBB2017xpl31834 successfully registered!
uid=6003(fibofore) gid=6003(fibofore) groups=6003(fibofore)
Следующей моей командой было ls –la… Я нашел папку upload с правами
-drwxrwxrwx- и залил туда шелл wget-ом. Локальная рекогносцировка показала, что
мы имеем в своём распоряжении:
- папку phpmyadmin – с его помощью мы будем подключаться к БД
- множество бекапов по 100-200 мегов – их качать у меня желания не было
- в папке httdocs лежали stady, fibo.kz; spb.fibo-forex.ru и прочие,
прочие - множество конфигов
Мне стало интересно с каким ядром я имею дело, но некоторые команды (к
примеру uname –a) не выполнялись вовсе. Я поспешил в папку httdocs. Странно… Я
ожидал получить сообщения access forbidded, но получил -read-only. В каждой
папку заботливо вложен файлик db_config.php… С этого дня понял, что
конфигурационные файлы БД я люблю больше всего на свете 🙂 В них я нашел самые
сложные, доселе неведанные человеку разумному пароли, выработанные серым
вещество админского мозга (ну или его программами)… 12-15-значные пассы как
нельзя лучше характеризуют всю ценность баз. Подключаемся к базе
'fibofore_mtcl'. Урл к phpmyadmin у нас уже есть. Что мы имеем на выходе?
Интересные таблички с названиями admins; users; withdrawal; withdrawal_data;
withdrawal_templates_data. В базе admins (передаю горячий привет админам Max;
Tania; agalkin; Tatyana; Lena) нас ожидали пароли к админке сайта
fibo-forex.ru/mtc2/admin и системе управления клиентами.
В админке есть интересные пункты вроде – блокировка, отзыв средств, переписка
с клиентами, анкета IB, договора. Весь контент сайта можно было редактировать.
Таблица withdrawal - тут мы видим следуещие – id – непосредственно сам хеш
md5, далее валидность акаунта - 0/1. Номер счета – просто число. И еще баланс –
здесь написано текущий кол-во долларов. В основном там лежат 200-900$, но были и
до 60000.
Осталось только заключить сделку со своей совестью. Обокрасть людей, стать
настоящим киберпадонком, которого разыскивает FBI. Пойти в Интернет клуб и без
всяких open-vpn и ssh-туннелей перевести бабло на WMZ. В тот же день провести
обналичку в филиале webmoney, затем наглухо все стереть с винта. А лучше сварить
его в микроволновке. Симку уничтожить, как и мобильник (всегда мечтал как я
швырну эту глючную Моторолу v180 метров с 50 и она разлетится к чертям), ведь я
наверника засветил IMAI. Bсё, улики лишь логи - нечто виртуальное…Теперь можно
паковать чемоданы и переезжать жить в Рио-де-Жанейро…и пора бы уже купить
новенький Mercedes s600.
Но это не для меня, я ведь честный, мне и Х5 хватит (да и не получилось бы
это по ряду причин :))... Но главное - пароли пользователей расшифровать не
удалось, вот ведь в чем загвоздка...
Вывод: ломается все. Иногда нужна лишь удача. Мне её самую малость не
хватило.
Я призываю Вас хакеры к осторожности, не трогайте никогда ничего связанного с
коммерцией. Ведь управление «К» занимается серьёзно теми, кто ворует бабки.