Авторские статьи От дорка до рута

Discussion in 'Статьи' started by Pirotexnik, 11 Mar 2012.

  1. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    Intro
    Всем привет. Недавно закончил взлом малазийского сервера. Весь путь я спотыкался о подводные камни. Вот и решил все изложить. Это моя первая статья, не пинайте :)

    Хочется поблагодарить таких ребят как:
    Osstudio - за все чему научил.
    BigBear - За все, чем помог.
    Pashkela - За то, что ответил на мой вопрос про рут.
    P.S. Pashkela, я все таки понял как! Спасибо.

    Поиск SQL

    Сервер был cari.com.my. Это был заказ от спамеров.
    По привычке я кинул урл в acunetix, открыл ФФ и начал искать.

    Искал я не с помощью кавычки (т.к. это далеко не всегда обнаруживает уязвимость), а с помощью:
    PHP:
    +order+by+1+--+
    Рандомно открыл одну из страниц, и начал действовать.
    Удача была на моей стороне, и параметр id в скрипте c.php при запросе
    PHP:
    c.php?id=100+order+by+1+--+
    Любезно переадресовал меня на какой-то другой ресурс с 100 новостью.
    По коже пробежали мурашки, за заказ платили много, и такая удача была редкостью.
    Дрожащими руками я ввел в браузере:
    PHP:
    c.php?id=100+order+by+1000+--+
    На сером фоне моего браузера красовалась черная надпись ERROR: order by 1000 --

    Я ликовал...

    Раскрутка SQL

    PHP:
    c.php?id=100+order+by+5+--+
    Вываливал ошибку.
    PHP:
    c.php?id=100+order+by+4+--+
    Любезно редиректил на левый ресурс.

    PHP:
    c.php?id=100+UNION+SELECT+1,2,3,4+--+
    Переадрисация была на следующий урл:
    С улыбкой на все лицо я ввел:
    Редирект на адрес:
    Айпишник не помню, но это дало мне понять, что мускул стоит не на этом сервере, кроме того, об этом свидетельствовал закрытый порт мускула.

    Я попробовал прочитать логин пароль и хост из mysql.user

    У меня появился хэш пароля рута :)
    Он совпадал с паролем guest.
    FILE_PRIV y guest были N, но т.к. мускул стоял отдельно это мне все равно бы не помогло.

    Коннект к мускулу был возможен только с конкретных ипов... Я понял, что придется залить шелл.

    Вход в админку

    Воткнув в хавидж адрес портала, и нажав на кнопочку FIND ADMIN я получил адрес /admin/, но страничка выдавала 403. Я подумал, что если залогинится на сам портал под админским акком - доступ будет. И пошел искать пароль админа в базе.

    Довольно быстро я вытянул хэш, это был md5(stots).
    Залогинился на сервер, с гордым и довольным лицом набрал /admin/ и... обламался! 403.
    Пару часов потратил на то, чтобы найти в конфигах путь к админке.
    Крайне злой что есть силы уебал по энтэру...
    Мне предложили ввести пароль ещё раз...
    Все... я внутри.

    Внутри админки
    Движок был DiscuZ 7.2.
    Не exploit-db.com не гугл уязвимостей не нашли.
    Я начал искать, через что можно залить шелл, ну или хотя бы файл.
    Пару часов поиска ничего не дали.
    Обратился к друзьям, но у них тоже ничего не вышло...
    Времени было уже за 2 ночи, и нужно было что-то придумывать...
    Вышел покурить, на холоде мозг вошел в режим сверхпроводимости... И появилась мысль! А что если разрешить аттачить на форуме *.php ???

    Да! В админке были четкие настройки аттачей. Разрешил админам аттачить пхп, зашел на форум, и залил WSO. Через скуль посмотрел адрес файла... переход... root... энтер... я в всо!

    WSO

    Не заморачиваясь посмотрел config.ini.php
    Перешел в всо в о вкладку SQL, ввел данные, я в БД.

    Сохраняя дамп на свой винт, я пил кофе и писал заказчикам, что все готово. Дал ссылку, мне перевили деньги, и я лег спать.

    На следующий день я решил закрепится на сервере.
    Понаделал копий всо в разных дирах, понатыкал минишелов в разных файлах. Готово. Осталось рутнуть сервер, и создать суидник.

    Предварительно я в наглую заменил рекламу на портале на свою. Трафик был на столько огромен, что деньги в партнерке просто лились на щет.

    Война с админом
    Естественно после 23 баксов, поднятых на рекламме, пароли сменили, а мой прокси забанили. Наивные :)

    Ответил я тем, что забанил админа, и поменял пароль на свой. Ну и рекламку вернул :)

    На следующий день Половину моих шеллов снесли, установили грамотные права на запись.
    возвращал
    Нужно было рутать систему.

    Ядро было 2.6.18-164.el5.
    эксплоит-дб выдал сплоит от эсидбитчез. После устранения специально допущенных ошибок в сплоите, всеравно не компилилось. Спасибо Pashkela за подсказанный способ.

    r00t
    Вернул все обратно, всю рекламу, все пароли и тд.
    Создал суидник.
    Через некоторое время залогиниватся опять перестало.
    В таблице с юзерами была такая структура
    Code:
    uid:username:password:email:прочая инфа
    А первой записью было следующее:
    Я крайне удивился такой креативности.

    Общение с админами
    После переговоров заключили сделку.
    Я помогу профиксить все уязвимости, а мне дадут денег. :)

    За заказ оплату я уже получил, и впринципе, все было неплохо. На том и порешили.

    Вобщем, вот! Моя не большая история-статья. Почему статья? Потому, что описал всю технологию, и может быть, кому-то это будет полезно.
    Всем спасибо!
    Ваш P1r0t3xn1k :D
     
    #1 Pirotexnik, 11 Mar 2012
    Last edited: 11 Mar 2012
    20 people like this.
  2. mr.The

    mr.The Elder - Старейшина

    Joined:
    30 Apr 2007
    Messages:
    1,080
    Likes Received:
    456
    Reputations:
    38
    пашкелла вообще клёвый чувак, но я так и не понял как ты получил рута. Что он тебе там подсказал-то?
     
  3. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    http://forum.antichat.ru/threadedpost3055878.html#post3055878
     
  4. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Не ожидал увидеть своё имя в титрах, но ничего сказать кроме как "порадовало".

    Хочу отметить, что это одна из первых статей новичков, которая не состоит из глупого повествования "Как раскрутить скулю за 2 мин", а содержит приблизительное содержание как и что делать. И потому она читается легко и без желания блевануть на очередное union select. Мне понравилось.
     
    _________________________
  5. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    Спасибо, до слез приятно :)
    Хотя по сути, что посеешь - то и пожнешь ;)
     
  6. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Это точно статья?
    или я пьяный?!!

    Если это статья то чему она посвящена?
    гугл дорку? возможно
    Раскрутка sql иньекций?? врятли
    Заливка шела? тоже нет
    повышение прав? неочём
    В общем никакой инфы!

    Не знаю без обид конечно, но статья с таким ГРОМКИМ названием "От дорка до рута" должна как минимум в сто раз дать больше информации чем тут написано!
    я бы назвал статью "Мой первый шел..."
     
    #6 OxoTnik, 11 Mar 2012
    Last edited: 11 Mar 2012
    ACat likes this.
  7. Ereee

    Ereee Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    560
    Likes Received:
    370
    Reputations:
    267
    Умудрился двойной профит сделать. Молодец =)

    P.S. Ты второй ломаешь :D
     
  8. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    OxoTnik, спасибо за критику, но в некоторых моментах я с тобой не согласен.

    Слово "дорк" подразумевает поиск жертвы. В моем случае мне ее дали. Тоесть как получить рут сервер от самого начала до самого конца. Я не стал разжевывать каждый примененный вид атаки, потому, что все это уже есть на ачате.
    А вообще я изложил свою тактику. Писать статью об очередной раскрутке скулей глупо. Т.к. их достаточно. Заливка шелла тоже заставила покапатся. Да и рут был интерестный.

    Ereee, спасибо :) Да, дабл профит! Так самое главное все довольны. Я доволен, спамеры довольны, а админы счастливы просто.
     
  9. Dr.Z3r0

    Dr.Z3r0 Leaders of the World

    Joined:
    6 Jul 2007
    Messages:
    284
    Likes Received:
    595
    Reputations:
    567
    Эм? Должно быть
    Поржал :D

    А так впринципе да, ничего особо нового. Обычная статья из разряда статей для ксакепа, и кстати стиль даже соответсвующий. Но радует то, это что не очередная глупая статья на тему "Как вернуть старый интерфейс гугла" (пойду еще раз минусану ее :D) и иже с ней.

    Вообщем зачтено :)
     
    #9 Dr.Z3r0, 11 Mar 2012
    Last edited: 11 Mar 2012
    2 people like this.
  10. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    Ошипко :) Посравил, спс :)

    Спасибо! Плюсик?))
     
  11. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,376
    Likes Received:
    1,094
    Reputations:
    356
    на статью не тянет. больше похоже на запись аля мой дневничок.
     
    _________________________
  12. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    Суть в том, что хотел показать стратегию. Т.К. смысла описывать как я раскрутил скуль нету.
     
    1 person likes this.
  13. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    это вроде как стандартная стратегия, найти уязвимость, вытащить из нее все вомзожное, залить шелл, и попробовать рутануть.
    не знаю, правда, что было бы интереснее.
    например, если бы возникли проблемы с скл — хуяк, а там третья ветка мускула, но тут вдруг ты случайно наткнулся бы на инклуд
    или же, где-нибудь на другом сайте на этом серве была читалка файлов, или тот же инклуд.
    оформлено и правда, как на ксакепе
    порадовал :)
     
    _________________________
  14. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    696
    Likes Received:
    404
    Reputations:
    134
    [​IMG]
     
    3 people like this.
  15. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,183
    Likes Received:
    618
    Reputations:
    690
    23 wmz если огромные деньги то спамеры заказчики тебе сколько платили ? )
    Пиротехник, статью надо было назвать мои первые шаги в кидке) и кстати кульно ты придумал не кавычки ставить а с ордербаем сразу начать, брависсимо )
    P.S тебе втройне повезло что и заказчики тупые и админы .... а ты не думал что ты спалил юрл заказчиков + админа подставил малолеткой ? а себя...
    P.S.s Бигбиру привет )
     
    _________________________
    #15 shell_c0de, 12 Mar 2012
    Last edited: 12 Mar 2012
    ACat likes this.
  16. Pirotexnik

    Pirotexnik Member

    Joined:
    13 Oct 2010
    Messages:
    376
    Likes Received:
    73
    Reputations:
    38
    faza02, ну на ачате есть не только про, согласись. Все когда-то начинали. Поэтому для меня года пол назад в этой статье было бы много нового.

    $n@ke, а у самого в нике что?))

    shell_c0de, спамеры платили 500 $ за заказ. Я имею ввиду, что это часов за 6-7 накапало. Думаю, что достаточно не плохо. Нащет названия - ты прав. Но это для твоево уровня это безделушки, есть ведь и юзеры только подключившиеся :)
    Вообще статью писал с ращетом на себя пол года назад.

    А, и про ордербай. Это стеб или реально похвала?)
    Просто я подумал, что раз параметр uid - однозначно числовой, а вывод об ошибках может быть отключен итд. Помоему логично. Если не прав - поаравте.
    p.s. передал)
    p.s.s заказчикам вообще всеравно, админу 40 лет, и он в малайзии. Фиксер, ну хватит ругать меня. Или хотябы не публично.
     
    #16 Pirotexnik, 12 Mar 2012
    Last edited: 12 Mar 2012
  17. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Критика всему нужна :)
    как статья не читается, но как роман хакера вполне, так что это "роман" :D
     
  18. makag

    makag Staatsanwalt

    Joined:
    27 Sep 2009
    Messages:
    478
    Likes Received:
    564
    Reputations:
    98
    много непонятных букофф, но читать понравилось, спасибо ТС.
     
  19. Mr.Wekly

    Mr.Wekly New Member

    Joined:
    15 Sep 2011
    Messages:
    60
    Likes Received:
    3
    Reputations:
    5
    спасибо, кое что выучил для себя.
     
  20. Demon__666

    Demon__666 New Member

    Joined:
    26 Sep 2011
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    как по мне нормально .... хотя есть пара косяков