Intro Всем привет. Недавно закончил взлом малазийского сервера. Весь путь я спотыкался о подводные камни. Вот и решил все изложить. Это моя первая статья, не пинайте Хочется поблагодарить таких ребят как: Osstudio - за все чему научил. BigBear - За все, чем помог. Pashkela - За то, что ответил на мой вопрос про рут. P.S. Pashkela, я все таки понял как! Спасибо. Поиск SQL Сервер был cari.com.my. Это был заказ от спамеров. По привычке я кинул урл в acunetix, открыл ФФ и начал искать. Искал я не с помощью кавычки (т.к. это далеко не всегда обнаруживает уязвимость), а с помощью: PHP: +order+by+1+--+ Рандомно открыл одну из страниц, и начал действовать. Удача была на моей стороне, и параметр id в скрипте c.php при запросе PHP: c.php?id=100+order+by+1+--+ Любезно переадресовал меня на какой-то другой ресурс с 100 новостью. По коже пробежали мурашки, за заказ платили много, и такая удача была редкостью. Дрожащими руками я ввел в браузере: PHP: c.php?id=100+order+by+1000+--+ На сером фоне моего браузера красовалась черная надпись ERROR: order by 1000 -- Я ликовал... Раскрутка SQL PHP: c.php?id=100+order+by+5+--+ Вываливал ошибку. PHP: c.php?id=100+order+by+4+--+ Любезно редиректил на левый ресурс. PHP: c.php?id=100+UNION+SELECT+1,2,3,4+--+ Переадрисация была на следующий урл: С улыбкой на все лицо я ввел: Редирект на адрес: Айпишник не помню, но это дало мне понять, что мускул стоит не на этом сервере, кроме того, об этом свидетельствовал закрытый порт мускула. Я попробовал прочитать логин пароль и хост из mysql.user У меня появился хэш пароля рута Он совпадал с паролем guest. FILE_PRIV y guest были N, но т.к. мускул стоял отдельно это мне все равно бы не помогло. Коннект к мускулу был возможен только с конкретных ипов... Я понял, что придется залить шелл. Вход в админку Воткнув в хавидж адрес портала, и нажав на кнопочку FIND ADMIN я получил адрес /admin/, но страничка выдавала 403. Я подумал, что если залогинится на сам портал под админским акком - доступ будет. И пошел искать пароль админа в базе. Довольно быстро я вытянул хэш, это был md5(stots). Залогинился на сервер, с гордым и довольным лицом набрал /admin/ и... обламался! 403. Пару часов потратил на то, чтобы найти в конфигах путь к админке. Крайне злой что есть силы уебал по энтэру... Мне предложили ввести пароль ещё раз... Все... я внутри. Внутри админки Движок был DiscuZ 7.2. Не exploit-db.com не гугл уязвимостей не нашли. Я начал искать, через что можно залить шелл, ну или хотя бы файл. Пару часов поиска ничего не дали. Обратился к друзьям, но у них тоже ничего не вышло... Времени было уже за 2 ночи, и нужно было что-то придумывать... Вышел покурить, на холоде мозг вошел в режим сверхпроводимости... И появилась мысль! А что если разрешить аттачить на форуме *.php ??? Да! В админке были четкие настройки аттачей. Разрешил админам аттачить пхп, зашел на форум, и залил WSO. Через скуль посмотрел адрес файла... переход... root... энтер... я в всо! WSO Не заморачиваясь посмотрел config.ini.php Перешел в всо в о вкладку SQL, ввел данные, я в БД. Сохраняя дамп на свой винт, я пил кофе и писал заказчикам, что все готово. Дал ссылку, мне перевили деньги, и я лег спать. На следующий день я решил закрепится на сервере. Понаделал копий всо в разных дирах, понатыкал минишелов в разных файлах. Готово. Осталось рутнуть сервер, и создать суидник. Предварительно я в наглую заменил рекламу на портале на свою. Трафик был на столько огромен, что деньги в партнерке просто лились на щет. Война с админом Естественно после 23 баксов, поднятых на рекламме, пароли сменили, а мой прокси забанили. Наивные Ответил я тем, что забанил админа, и поменял пароль на свой. Ну и рекламку вернул На следующий день Половину моих шеллов снесли, установили грамотные права на запись. возвращал Нужно было рутать систему. Ядро было 2.6.18-164.el5. эксплоит-дб выдал сплоит от эсидбитчез. После устранения специально допущенных ошибок в сплоите, всеравно не компилилось. Спасибо Pashkela за подсказанный способ. r00t Вернул все обратно, всю рекламу, все пароли и тд. Создал суидник. Через некоторое время залогиниватся опять перестало. В таблице с юзерами была такая структура Code: uid:username:password:email:прочая инфа А первой записью было следующее: Я крайне удивился такой креативности. Общение с админами После переговоров заключили сделку. Я помогу профиксить все уязвимости, а мне дадут денег. За заказ оплату я уже получил, и впринципе, все было неплохо. На том и порешили. Вобщем, вот! Моя не большая история-статья. Почему статья? Потому, что описал всю технологию, и может быть, кому-то это будет полезно. Всем спасибо! Ваш P1r0t3xn1k
Не ожидал увидеть своё имя в титрах, но ничего сказать кроме как "порадовало". Хочу отметить, что это одна из первых статей новичков, которая не состоит из глупого повествования "Как раскрутить скулю за 2 мин", а содержит приблизительное содержание как и что делать. И потому она читается легко и без желания блевануть на очередное union select. Мне понравилось.
Это точно статья? или я пьяный?!! Если это статья то чему она посвящена? гугл дорку? возможно Раскрутка sql иньекций?? врятли Заливка шела? тоже нет повышение прав? неочём В общем никакой инфы! Не знаю без обид конечно, но статья с таким ГРОМКИМ названием "От дорка до рута" должна как минимум в сто раз дать больше информации чем тут написано! я бы назвал статью "Мой первый шел..."
OxoTnik, спасибо за критику, но в некоторых моментах я с тобой не согласен. Слово "дорк" подразумевает поиск жертвы. В моем случае мне ее дали. Тоесть как получить рут сервер от самого начала до самого конца. Я не стал разжевывать каждый примененный вид атаки, потому, что все это уже есть на ачате. А вообще я изложил свою тактику. Писать статью об очередной раскрутке скулей глупо. Т.к. их достаточно. Заливка шелла тоже заставила покапатся. Да и рут был интерестный. Ereee, спасибо Да, дабл профит! Так самое главное все довольны. Я доволен, спамеры довольны, а админы счастливы просто.
Эм? Должно быть Поржал А так впринципе да, ничего особо нового. Обычная статья из разряда статей для ксакепа, и кстати стиль даже соответсвующий. Но радует то, это что не очередная глупая статья на тему "Как вернуть старый интерфейс гугла" (пойду еще раз минусану ее ) и иже с ней. Вообщем зачтено
это вроде как стандартная стратегия, найти уязвимость, вытащить из нее все вомзожное, залить шелл, и попробовать рутануть. не знаю, правда, что было бы интереснее. например, если бы возникли проблемы с скл — хуяк, а там третья ветка мускула, но тут вдруг ты случайно наткнулся бы на инклуд или же, где-нибудь на другом сайте на этом серве была читалка файлов, или тот же инклуд. оформлено и правда, как на ксакепе порадовал
23 wmz если огромные деньги то спамеры заказчики тебе сколько платили ? ) Пиротехник, статью надо было назвать мои первые шаги в кидке) и кстати кульно ты придумал не кавычки ставить а с ордербаем сразу начать, брависсимо ) P.S тебе втройне повезло что и заказчики тупые и админы .... а ты не думал что ты спалил юрл заказчиков + админа подставил малолеткой ? а себя... P.S.s Бигбиру привет )
faza02, ну на ачате есть не только про, согласись. Все когда-то начинали. Поэтому для меня года пол назад в этой статье было бы много нового. $n@ke, а у самого в нике что?)) shell_c0de, спамеры платили 500 $ за заказ. Я имею ввиду, что это часов за 6-7 накапало. Думаю, что достаточно не плохо. Нащет названия - ты прав. Но это для твоево уровня это безделушки, есть ведь и юзеры только подключившиеся Вообще статью писал с ращетом на себя пол года назад. А, и про ордербай. Это стеб или реально похвала?) Просто я подумал, что раз параметр uid - однозначно числовой, а вывод об ошибках может быть отключен итд. Помоему логично. Если не прав - поаравте. p.s. передал) p.s.s заказчикам вообще всеравно, админу 40 лет, и он в малайзии. Фиксер, ну хватит ругать меня. Или хотябы не публично.
