Сейчас, как отмечают специалисты в области информационной безопасности, большинство хакерских атак производится не из хулиганских побуждений, а из соображений коммерческой выгоды. И хотя дефейс-ленты на популярных security-порталах регулярно обновляются, желание «срубить баблос» на своих навыках и умениях (а в случае отсутствия оных - на смекалке и сноровке) действительно становится доминирующим на хак-сцене.

И здесь можно идти разными путями: ломать сайты и мыла на заказ, получая от небольших до приличных «гонораров»; потрошить базы Интернет-шопов в поисках картона, который встречается в них все реже и реже; вытаскивать данные из датинг и джоб-сайтов и потом иметь неслабый геморрой с их продажей и т.д. А можно пойти «другим путем», как любил говорить за кружечкой пива в Цюрихе основоположник марксизма-ленинизма.

Некоторое время назад мне в руки попал список из более чем трехсот буржуйских банковских сайтов. Бегло просмотрев порядка трех-четырех десятков сайтов из списка я выяснил две интересных особенности: первое – как правило в небольших банках сайт и система онлайн-банкинга находятся на разных машинах и второе – на самих сайтах банков имеются уязвимости. Во всяком случае просмотрев три-четыре десятка сайтов я нашел 4 SQL-инъекции, 2 – XSS, и еще бажный скрипт поиска по сайту, выдавшей мне много полезной информации о сервере. И если к системе онлайн-банкинга получить доступ не удается, то можно использовать старый добрый фишинг, ведь получив доступ к банковскому сайту достаточно всего лишь
подкорректировать линк, который вел бы клиента на наш фейк. Кстати, о том как создавать фейк ты можешь почитать в одном из номеров «Хакера» или обратиться к специалистам подобного рода на некоторых форумах.

Ну а теперь пришло время показать на практике теоретические выкладки выше. Первым бажным в моем списке оказался сайт небольшого американского банка. Банальная инъекция в скрипте позволяла выводить информацию из базы в меню:

http://***.com/bank.asp?ID1=ff

http://***.com/bank.asp?ID1=1'+union+select+table_name,2,3,4,5,6+FROM+INFORMATION_SCHEMA.TABLES--

Через минуту логины и пароли админов уже были у меня, с счастью пароли оказались в открытом виде. Оставалось найти админку, а это оказалось непросто. Не найдя ее по стандартным запросам /admin/, admin.asp, login.asp, я доверился google в своем поиске. К сожалению гугл не нашел админки, но я получил ссылку на еще один бажный скрипт с инъекцией:

http://***.com/pop_privacy.asp?ID1=1'+or%201=@@version--

Еще раз, на всякий случай, проверил имена и содержимое всех колонок в таблице Table_Admin:

http://***.com/pop_privacy.asp?ID1=1'+or+1=(SELECT+TOP+1+COLUMN_NAME+FROM+ INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME= 'Table_Admin'+AND+COLUMN_NAME+NOT+IN+('Password','PrimaryKey', 'UserName','Access'))--

Я надеялся найти информацию о CMS, чтобы выяснить где может находиться админка, но как показали дальнейшие действия она оказалась самописной. Просмотрев содержимое таблиц и колонок и не найдя нужной мне информации, я решил прибегнуть к последнему средству – сканеру XSpider 7.

Через час XSpider сообщил мне, что нашел несколько открытых портов, два скрипта (подверженных инъекции) о которых я и так знал, список директорий и список скриптов, которым можно передавать параметры.

В одной из директорий я обнаружил админку, но пароли к ней не подошли:

http://***.com/dsg/admin/login.asp

Попытки ее проинжектить не дали результата. Как позже выяснилось, это была система добавления pdf-файлов на сайт. Тогда я стал просматривать список скриптов с параметрами, выданный мне XSpider 7. И вот тут удача повернулась ко мне лицом, один из скриптов позволял загружать на сайт файлы в обход авторизации в админке:

http://***.com/dsg/doc_upload.asp

Что самое главное, загружаемых файлы не проверялись. Первое, что я сделал - загрузил свой самописный asp-шелл, но для его корректной работы требовалась возможность записи в корень диска С. В данном случае такой возможности не было.

Тогда я, найдя на винте папку с asp-шеллами, первым делом натравил на них каспера, тот радостно хрюкнул несколько раз и сообщил, что тут у меня вирусы притаились и предложил сделать полную проверку компьютера. Вероятность того, что на сервере стоял антивирус была высока и я не хотел палиться раньше времени, заливая известные антивирусам шеллы. Из всего списка asp-шеллов Каспер не определил только мой самописный шелл и еще один – то ли норвежский, то ли датский. Во всяком случае раньше я такого языка точно не видел. Залив его на сервер я столкнулся еще с одной проблемой - в шелле отсутствовала командная строка, зато список файлов и директорий был очень неплохо оформлен. Смущало одно -
напротив каждого файла стояли кнопки с нечитабельными надписями. Чтобы ничего не запороть я залил этот шелл на один из своих сайтов на IIS, и методом научного тыка выяснил предназначение каждой кнопки.

После этого вернулся к банку. Первое, что я выяснил - месторасположение админки:

http://***.com/admin_bank/index_login.asp

Сюда уже пароли подошли и вот я уже админ банковского сайта с возможностью изменять его контент по своему усмотрению. Что мне собственно и было нужно.

Теперь осталось дождаться пока кодер допишет фейк системы онлайн-банкинга и можно грести баблос. Ну если не лопатой, то детским совком точно. Кто на что учился.

З.Ы. Прошу не воспринимать серьезно данный текст, так как он является бредом, вызванным чрезмерным употреблением алкоголя, закусываемым салатом оливье из тазика и новогодним «Аншлагом». За психическое нездоровье автора ответственность несет лично Дед Мороз. Всех с Новым годом.

Оставить мнение