В этом видео хакер ковыряет падонкафский онлайн-ресурс udaff.com. В самом
начале ролика он обнаруживает, что новостной скрипт, при «правильной»
эксплуатации, может выводить первые N строк произвольного файла на сервере. Но
это его не устроило, и он решил копаться дальше. Для того, чтобы получить полный
список скриптов, находящихся на сервере, он запряг гугл искать все php-файлы на
удаве. И результат оправдал свои ожидания! На сайте обнаружился заброшенный
форум phpBB старой версии, который страдает нашумевшей ошибкой, с помощью
которой с легкостью можно получить шелл-доступ к системе. Получив шелл-акцес,
хакер первым делом ищет доступную для записи диру, чтобы залить туда r57shell.
Открыв один из файлов конфигурации, наш взломщик обнаруживает в нем пароль от
postgresql-базы. Слив, установив и настроив phpPgAdmin, хаксор успешно проникает
в базу данных удава. После этого он меняет хэш пароля администратора на свой, в
результате чего сам становится админом.
