Приветствую тебя, уважаемый почитатель буржуйского бойс-бенда Backstreet Boys!
Сегодня я расскажу занимательную историю о том, как быстро и без боя сдались
backstreetboys.com, myspace.com/backstreetboys, а также twitter.com/backstreetboys
— основные сетевые ресурсы твоей любимой группы. Все началось с того, что
третьего дня небезызвестный редактор рубрики намекнул о продолжении темы взлома
всепочитаемых зарубежных знаменитостей, а в голове как раз вертелась нехитрая
песенка "Everybody".

 

Who is who

Начнем наши раскопки, конечно же, с исследования сайта http://backstreetboys.com.
Ресурс представляет собой простенькую стартовую страницу на flash с фотографией
группы и надписью "Coming soon". Ниже располагаются несколько ссылок: Tour Dates,
Enter Fanclub, Shop BSB, BSBlog. Tour Dates и Enter Fanclub ведут на один и тот
же сабдомен — http://fanclub.backstreetboys.com. Shop BSB ведет на левый домен
http://backstreetboys.shop.bravadousa.com, а BSBlog, соответственно, на
http://blog.backstreetboys.com.

Ты не удивишься, если узнаешь, что движком блога группы является уже знакомый
тебе WordPress :). Но, как это зачастую бывает, версия блога (2.7.1) была на тот
момент неуязвима, так что с быстрым и халявным взломом пришлось распрощаться.

Тут стоит упомянуть, что я не забыл поискать и админку ресурса. Таковая
нашлась по адресу http://admin.backstreetboys.com, но требовала
http-авторизации, и этот вариант также пришлось на некоторое время отложить.

Дальше на пути нашего исследования стоит фанклуб группы —
fanclub.backstreetboys.com.

 

Бабло побеждает зло!

Фанклуб представляет из себя простейшую социальную сеть, но работающую на
платной основе (последний успешный альбом бэки выпустили в 2007 году, теперь
надо же на чем-то зарабатывать). Платно здесь все, начиная от чата с форумом и
заканчивая просмотром видео и фото с концертов и туров. Мне не очень хотелось
отдавать свои кровные за такого рода услуги. Пришлось довольствоваться тем, что
есть.

Итак, бесплатными разделами фанклуба оказались всего три ссылки: Home
(главная), Tour (расписание туров) и Discography (дискография). Поиздевавшись
вдоволь на открывшихся страничках над всемозможными параметрами (насколько это
позволял mod_rewrite, большинство ссылок выглядели в таком стиле — http://fanclub.backstreetboys.com/events/827#signups),
а также попробовав стандартные пути для поиска админки, я понял, что на данном
сабдомене ловить совершенно нечего и стал раздумывать над дальнейшими шагами.
Немного погодя мой взгляд упал на футер сайта:

© 2009 Backstreet Boys. All rights reserved.
Powered by ground(ctrl).

Заинтересовавшись, что собой представляет вышеозначенный "ground(ctrl)", я
проследовал на сайт http://groundctrl.com.

 

Неуязвимых не бывает

Оказалось, что ground(ctrl) — это контора, которая разрабатывает сайты на
основе своей cms для различных знаменитостей. Как они сами о себе пишут: "We
offer innovative interactive marketing and merchandising services for Music
Stars, Athletes, and Personalities".

Клиентами конторы (кроме Backstreet Boys) являются такие люди и коллективы,
как: Daughtry, Papa Roach, Paul Oakenfold, Thalia, Far, New Kids on the Block,
Third Eye Blind, Dredg, Gavin Rossdale. Подобный поворот событий придал мне
дополнительных сил для поиска путей проникновения как на backstreetboys.com, так
и на сам groundctrl.com :).

На сайте разработчика звездной cms я уже не стал вставлять разные нехорошие
символы во всевозможные параметры, а сразу принялся за поиски админки и
моментально нашел ее по адресу http://groundctrl.com/admin.

Открывшаяся моему взору страничка порадовала тем фактом, что здесь
использовалась не http-аутентификация, а самые обычные логин/пароль через
веб-форму. Это означало, что для авторизации используется какая-то база данных и
можно было бы потестить соответствующие поля на банальную скуль-инъекцию. Итак,
после сабмита в поля "Username" и "Password" значения "1’" я увидел следующую
sql-ошибку:

SELECT * FROM users WHERE user_name = '1'' AND password = MD5('1\'')

Стало быть, профессиональные веб-программисты не уследили за простейшей
фильтрацией полей ввода :).

Теперь залогиниться в админку не составляло труда: для этого лишь в поле с
юзернеймом следовало вставить что-то вроде "1′ or 1=1/*".

Ты, наверное, уже знаешь, – админки сайтов очень часто подвержены множеству
уязвимостей. Веб-разработчики полагают, что никто не сможет проникнуть в эту
самую админку извне 🙂 Вот и на этот раз все оказалось гораздо проще, чем я
думал. Зайдя в раздел "Manage Users", я наугад выбрал для редактирования профайл
юзера с ником "jennie".

В профайле, как это часто бывает, оказалась форма загрузки аватара, рядом с
которой было написано "jpg, gif and png images minimum size 265 x 213". Чем черт
не шутит, я, конечно же, попробовал залить свой php-шелл вместо аватара.

Без каких-либо дополнительных вопросов мой evil-файл успешно загрузился по
адресу http://groundctrl.com/media/images/404.php.

 

Внутри

Тут необходимо сделать небольшую ремарку. Во время просмотра списка
пользователей в админке groundctrl.com мне пришла идея поискать мыльный
pop-домен данного сайта, так как все пользователи-админы имели мыло именно в
домене groundctrl.com. Тут, как это ни странно, мне снова улыбнулась удача в
виде редиректа с http://mail.groundctrl.com на
https://www.google.com/a/groundctrl.com/ServiceLogin.

Вполне возможно, что какие-либо пароли админов были бы одинаковыми и для
Gmail. Там могла храниться служебная переписка разработчиков нужной мне cms.
Теперь, когда у меня имелся веб-шелл на groundctrl.com, неплохо было бы изучить
исходники админки на предмет данных для подключения к MySQL, чем я и занялся.
Нужные данные почти сразу же нашлись в файлике /var/www/vhosts/groundctrl.com/httpdocs/admin/con/mysql_connect.php:

<?php
define ('DB_USER', 'groundctrl');
define ('DB_PASSWORD', 'breakhouse');
define ('DB_HOST', 'localhost');
define ('DB_NAME', 'groundctrl_website');

$dbc = @mysql_connect (DB_HOST, DB_USER, DB_PASSWORD) or die ('Could not connect
to MySQL: ' . mysql_error());
mysql_select_db (DB_NAME);
?>

Имя и структура таблицы с админами мне уже были приблизительно известны из
самой первой sql-ошибки при входе в админку. Оставалось лишь набросать небольшой
скрипт для выполнения в PHP-eval окне шелла:

include 'mysql_connect.php';
$query = mysql_query('select * from users');
while($arr = mysql_fetch_array($query))
{
print_r($arr);
}

Код вывел на мой экран подробные данные всех админов. Выбрав наугад
пользователя с мылом matt.sergent@groundctrl.com и md5-хешем пароля
330ef80613513b8286f95042bf372362, я отправился расшифровывать хеш в irc на
plain-text.info:

M4g .c3p0 addmd5 330ef80613513b8286f95042bf372362
C3P0 M4g: add ok... at 02:51:33
C3P0 MD5 Hash:330ef80613513b8286f95042bf372362 passwd:paplee hex:7061706c6565

 

ГМыло

Оставалось залогиниться по адресу https://www.google.com/a/groundctrl.com/ServiceLogin
с логином "matt.sergent" и паролем "paplee", что мне успешно и удалось сделать.
Далее я воспользовался замечательным поиском среди писем, который заботливо
встроил в свой мыльный сервис дядя Гугл. В качестве поисковых фраз я использовал
следующие комбинации: "ftp pass", "ftp password", "password login". В результате
таких раскопок мой улов составили следующие аккаунты:

https://twitter.com/backstreetboys
username - backstreetboys
password - j3nnj3nn
---
Myspace.Com
bsbsocialutility@yahoo.com
spring99
---
Bsbadmin.com (он же admin.backstreetboys.com)
Bsboys
.sandoz.
---
FTP
host: backstreetboys.com
user: backstreetsback
pass: 3rxvt6pueuyr
---
FTP
host: groundctrl.com
user: groundctrl
pass: ninegbzif3zfgw

– и множество других интереснейших вещей (вроде доступов к панели управления
Plesk, root-аккаунтов mysql и ftp/sftp-аккаунтов к великому множеству сайтов),
которые я не хочу сейчас перед тобой палить :).

Но, наконец-таки, цель нашего квеста достигнута! Настало время совсем немного
поглумиться над фанатами нашей подопытной группы.

 

Социальные сети

Так как дефейсом занимаются лишь первоклассники, я решил направить свои
основные действия на аккаунты группы в социальных сетях. Сперва я запостил в
Твиттер сакраментальную фразу "I’ll be
watching you! From Russia with love :)" (как и в случае со Стивеном Фраем)
.
Удивленные отклики фанатов не заставили себя ждать:

piiittta@backstreetboys what...i dont understand?????
---
NinaBackstreetRT @kairarosa @backstreetboys Oh Guys!!!!!!!! Hello!!!! Russia?????
OMG! Around the world again????? LOL! Love you! Say Hi to Brazil!
---
Loliii@backstreetboys I'll be watching YOU with love from Argentina, how about
that uh?
---
realNinoRodgers@backstreetboys I'll be watching you! From Russia with love :) <<
That's my country, HAVE FUN!! :-)
---
MysticalPixie@backstreetboys who will be watching? gotta tell us who is twitting
here guys...lol
---
puricha@backstreetboys What? Are you in Russia now? I thought you were in Madrid
!!
---
DannynhaMansani@backstreetboys Are u going to Russia? Is Russia your next stop,
guys? WOW! U're traveling a lot, hope u're having some fun =)
---
overloved@backstreetboys oooohhh my boys!!! tell me something, i wanna know if u
do feeling excited to come to Dubai?? how u feel? :D
---
m_serra@backstreetboys i'm watching you! from brazil with love :)
---
k_rina_ktbspa@backstreetboys COME BACK TO SOUTHAMERICA.. CHILE MISS YOU!!! BESOS!!!
SA FANS.. LOVES YOU!!!! PLEASE!! :-(
---
vale101@backstreetboys heeey what?s new.. are in Russia .. Wow, understand the
language .. tell me something in Russian?... jejeje kisses
---
MayMclean@backstreetboys Hey guys... what's up?? Russia... this is great!! OMG!!
tell us when TIU TOUR will arrive in Brazil?!
---
danyzinhalee_@backstreetboys Russia, madrid, Holland, Germany, u guys travel a
lot - beijinho doce to you
---
pancho_torto@backstreetboys realyy!!?? people said that it's a great placee!!!
please come back to Argentinaa!!! We love you guys!!

Как видишь, люди были крайне удивлены тем, что их кумиры внезапно
переместились из Бразилии в Россию, поэтому, будучи больше не в силах никого
травмировать, я удалил свой пост :).

Подошла очередь не совсем знакомого мне MySpace. Немного разобравшись со
внутренним устройством этой социальной сети, я разместил уже известную тебе
фразу в посте блога BSB и на главной странице профайла в комментариях. Вот какие
ответы я получил от фанатов Backstreet Boys:

Maira Carter:
BACKSTREET BOYS FOREVER <3
PLEASE, COME TO BRAZIL.
I LOVE YOU SO MUCH....
---
Suzan:
And who will that 'I' be ????? ;) Mr Littrell? Mr Mclean? Mr Carter? Mr Dorough????
;)
Cause I'll be watching too... From Holland with Love! ;)
---
GinCarter:
WOW GUYS! GOOD LUCK!
---
[*ALMA DaNgErOuS*]:
who's gonna be watching???
xD
remember, Mexico loves you, you have to come back! :)
---
-Rawan-:
I don't know WHO will be watching us..:p but i have a feeling that Nick is the
one who will be watching us!
---
*JULIE*ORR*:
oh never mind then lol
---
Danny_Mansani:
I don't know who will be watching us, but I'm def will be watching u ;)
From Brazil, with love =)
---
Stephanie:
What?

Как видишь, и на MySpace также преобладает удивление фанов насчет того, что
бэки "пишут из России", а должны бы находиться в Бразилии. Так что мне снова
пришлось удалять свои записи и заканчивать этот эпик хак на столь высокой ноте.

 

Злоключение

Не всегда грамотно сделанный, хорошо настроенный и пропатченный сайт
означает, что его невозможно взломать. Зачастую хакеру помогает обычный
человеческий фактор, будь то социальная инженерия или простая невнимательность
разработчиков, от которой не застрахованы даже самые богатые и знаменитые
звезды. Надеюсь, ты вынес из этой статьи и другой очень простой, но важный
совет: никогда не сохраняй в своем почтовом ящике любые письма, содержащие в
себе логины, пароли и другую важную информацию!

P.S. Обожаю рулить настроениями многотысячной армии фанатов. Со временем жди
продолжения интересного звездного взлома :).

 

DANGER

Все описанное в статье является плодом больного воображения автора. Любые
совпадения с существующими сайтами случайны. Ни редакция, ни автор не несут
ответственности за любой возможный вред, причиненный материалами этой статьи.

Оставить мнение

Check Also

Господин Самоуничтожение. Как в домашних условиях смастерить Rubber Ducky со встроенной пиротехникой

Представь: ты втыкаешь в USB какую-то флешку, и вдруг в браузере открывается окно, где гру…