Интересный взлом!

Discussion in 'Уязвимости' started by fly, 27 Aug 2007.

  1. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Неделю таму назад попался сайт с локальным инклудом в cgi сценарии. Казалось на этом при раскладе ,что можно читать passwd и даже httpd.conf , можно забить, но я не стал.

    Оказалось ,что я не просто могу читать , но и перемещаться по директориям на сервере :

    Code:
    http://xost.com/view.cgi?page=../../../../../../../../../../../../../home/
    
    Поехали дальше. Тут сразу приходит в голову сделать инклуд через логи родного апача, но это при хорошом раскладе.Это как я сказал не получилось.

    Не много забив на этот ресурс, я опять вернулся к нему!
    Изучив конфиг апача стало ясно , что есть субдомен.
    Субдомен оказался домашней страницей Василия Пупкина (директор нефтяного комплекса:))! И тут я увидел линк на его форум, попал на Yabb. Мои дальнейшие мысли ,конечно же прочитать через ранее найденный инклуд конфиг админа , где находиться логин и пароль от админки форума.

    Code:
    http://xost.com/view.cgi?page=../../../../../../../../../../../../../Basili/forum/Members/admin.vars
    
    Хм пароль попался в страном виде:

    Code:
    'password',"ISMvKXpXpadDiUoOSoAfww"
    
    Слив себе на винт исходники форума, все стало понятно! Запускаем PasswordsPro -> жмем F7 -> вставляем ранее полученный хеш -> и кликаем Base64-Нех , получаем чистый MD5.

    Пароль получен, но как я понял , ребята из конторы Yabb форума, хорошо все придумали! Попробовал записать свой шелл в папку атача форума, но увы шелл не выполнился как php(этого я и ожидал).!!!

    Опять забив на день, я вернулся к изучению сервера.
    Не хотелось забивать на форум, слив на винт все varsы .юзверей форума и переведя их в md5 , кинул на перебор.

    Сам этим временем загрузил на своем шелле nmap.
    Стандартный набор открытых портов, но одно "23" порт был открыт. Прителнетившись к 23 , получил предложение ввести логин :admin и меня попросили пройтись лесом- :(
    Начал опять смотреть директории на сервере и нашел админку в домашней директории сайта в котором нашел локальный инклуд. Написана все было на php , от сюда сразу идея почитать конфиг данной админки, тут как всегда попался config.php но внутри вместо dbuser и dbpass , я нашел две строчки $login и $pwd

    Code:
    
    $login:'ceaf032b15f379cc6413be8bd335259f'
    $pwd:'d474541e0992804e4b9743a7b9d0eff7'
    
    
    После перебора получил и логин и пароль (очень сложные).

    Зашел в админку и у меня на лице появилась улыбка :)
    Вкладка Upload Images, быстрым кликом я попал в раздел загрузки , но опять облом. Загрузка осуществляется через ftp сценарий , тут думаю все понятно ,надо знать логин и пасс к ftp. Ж( Пробую приконектиться к 21 ,но опять облом , фильтруется.
    Да , думаю 23 открыт для всех , а вот 21 только для своих( хотя 23 наиболее не безопасное решение для админа)!!! В админки я нашел ссылку на phpinfo , по нему там стояла линуха с ядром 2.4 , при хорошом раскладе звезд на небе рут гарантирован, но читаем дальше.

    Опять поиски по серверу и удача !!!!!!!!!!! Попался .htpasswd, а внутри много вкусного, акки , но не понятно к чему. Новая идея осенила мою голову, telnet host.com 23 !!
    И ввел первый логин из htaccess и тут уже я не пошел лесом, а мне задали вопрос , введите номер рабочего места для данного логина Пример:1312.4235.11. еБ . ТОП ТОП., не одно так другое. Но опять выход был найден в ранее найденой админки , на главной страницы красовались email админов и редакторов + 1312.4235.11 вот примерно такие наборы чисел.
    Опять telnet и уже не лес , а солнечное поле!

    Далее был залит шелл, затем сплоит и root!:)/////
    ВСЕМ БИЗНЕСМЕНАМ ПРИВЕДДДД!
     
    #1 fly, 27 Aug 2007
    Last edited: 27 Aug 2007
    7 people like this.
  2. a1ex

    a1ex Banned

    Joined:
    11 Oct 2006
    Messages:
    517
    Likes Received:
    130
    Reputations:
    -13
    Улыбнуло;)
     
    2 people like this.
  3. dimon222

    dimon222 Elder - Старейшина

    Joined:
    1 Jun 2007
    Messages:
    149
    Likes Received:
    78
    Reputations:
    61
    Тоже улыбнуло.
     
  4. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    чет меня не улыбает =/
    Может просто я даун, но нахрен было нужно брутить, тебе всетаки понадобились эти логин и пасс?
     
    2 people like this.
  5. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Какие!?
     
  6. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    $login:'ceaf032b15f379cc6413be8bd335259f'
    $pwd:'d474541e0992804e4b9743a7b9d0eff7'
     
  7. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Для админки эта связка, не от форума , а от админки на сайте ,где был найдет локальный инклуд!
     
    2 people like this.
  8. [Raz0r]

    [Raz0r] Elder - Старейшина

    Joined:
    25 Feb 2007
    Messages:
    425
    Likes Received:
    484
    Reputations:
    295
    И правда красивый взлом, молодец =)
     
  9. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    а мне кажется он не понимает про что пишет:
    ну я думаю кому надо, тот поймет...

    если кто не понял, поясню: если он хотел проинклюдить логи апача, то как он смог прочитать config.php... и это только пример противоречивости
     
    #9 Scipio, 30 Aug 2007
    Last edited: 30 Aug 2007
  10. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Ты себя пойми для начало. Цитаты ты собрал с разных частей рассказа!!!
    А вот и ответ на твой вопрос--> Инклуд в логах: http://xost.com/view.cgi?page=<?passthru($_GET[cmd]);?>,даная строчка записывается или в access_log ибо в errors_log, затем http://xost.com/view.cgi?page=../../../../../../../../../../../../usr/local/apache/logs/access_log?cmd=id
    http://xost.com/view.cgi?page=../../../../../../../../../../../../usr/local/apache/logs/errors_log?cmd=id
    Тут вроде все понятно с ходом моей мысли.

    Code:
    если кто не понял, поясню: если он хотел проинклюдить логи апача, то как он смог прочитать config.php... и это только пример противоречивости
    
    Оказалось ,что я не просто могу читать , но и перемещаться по директориям на сервере !
     
  11. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    так еслиб у тебя логи апача инклюдились, тогда б и config.php проинклюдился, но не прочитался...
     
  12. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Я же написал , что у меня не получилось проинклудить логи, после чего я уже прочитал конфиг админки! А выше я описал действия с логами, которые не получились!
     
    1 person likes this.
  13. Ar3s

    Ar3s Banned

    Joined:
    4 May 2005
    Messages:
    86
    Likes Received:
    14
    Reputations:
    5
    забей. Нормально и доступно все описано. Просто народу нечего делать, или настроение плохое.
    А если кто-то и до такого не дорос - лесом!