Еврейский сайт из Иерусалима в марте этого года был трижды взломан
российскими хакерами. За дефейс этого сайта впервые в России была вручена
депутатская грамота.
Зайдя на сайт я не нашел ни форумов, ни гостевых, сайт работал на php.
Побродив по линкам на главной странице я обратил внимание на ссылку:
http://www.evrey.com/sitep/ethics/arkhiv.php3?menu=r270.htm
Ясен пень, что пхпшный скрипт принимает входные параметры, т.е. открывает файл.
Не долго думая я заменил имя файла на /etc/passwd и передо мной предстали все
логины. Естественно, shadow прочитать не удалось. Я проверил нельзя ли выполнять
команды, подставив |id| или хотябы читать каталоги заменив на /etc , но увы.
Надо было что-то делать дальше, т.к. одной читалкой файлов дефейс явно не
сделаешь, по крайней мере я не знаю как. Надо было каким-либо способом получить
web-шелл.
В начале я решил прочитать httpd.conf подставив /usr/local/apache/conf/httpd.conf.
Прочитать не удалось. Но зато я узнал установочную директорию, тогда была /backup/zidmanp/public_html.
Неплохо. Решил проверить нет ли на сайте админки http://www.evrey.com/admin и
получил отказ. Ладно, предположим, что на сайте есть файл .htaccess, ввожу /backup/zidmanp/public_html/.htaccess
и вижу ссылку на /vti_pvt/service.pwd. Далее /backup/zidmanp/public_html/vti_pvt/service.pwd
- и облом, прав на чтение не хватает. Теперь надо переходить к бруту, хорошо что
passwd содержал много логинов, да и ftp не резался файером. Я конечно же решил
брутать по паре login:login. Скормил passwd скрпту на perl (исходник скрипта
приводить не буду, его можно найти на страницах X). Полученный комбо-лист
скормил brutus'у и буквально через пару минут получил рабочий аккаунт. Логин и
пасс был тогда arlingto.
Зайдя на ftp по полученному пассу я понял, что там находится какая-то
web-страница. Введя в броузере http://www.evrey.com/~arlingto я как раз и
получил эту страницу. Отлично - можно заливать web-шелл. Теперь я мог выполнять
команды. Мои права были nobody. На серваке стоял Linux с ядром 2.4.29. Я залил
на сервак перловый бэкдор, но увы - нельзя было открывать порты. Я попытался
воспользоваться connect-бэкдором. И снова неудача. При попытке запустить
скомпиленный сишник было сообщение Permission denied. А значит эксплоитами
воспользоваться будет нельзя. Но мне хотелось получить доступ к консоли. Я
вспомнил, что есть такая прога qwee. Промучавшись с ней так доступ консоли не
получил...
Я решил пользоваться только web-шеллом. С помощью rewview'а я облазил сервак
с целью найти зашифрованные пассы, но увы. В общем я хотел узнать как им удалось
сделать дефейс. Пришлось ковырять директорию /backup/zidmanp/public_html.
Разумеется редактровать было нельзя. При просмотре конфига был обнаружен пароль
к mySQL, но он не подошел к фтп. Так же был найден пароль к скрипту добавления и
удаления новостей.
На следующий день при попытке обратиться к web-шеллу я получил отказ, логин
уже не действовал, и большинство логинов из passwd исчезли. Исследовать дальше
сервер я не мог. На ум мог придти только удаленный брут - подобрать пасс к
логину zidmanp. Дело в том, что пассы к mySQL и скрипту новостей были очень
простыми. Наверняка был и простой пасс к фтп, который можно было подобрать по
словарю. И выполнить дефейс аплоадом файла.
