уразливості netbilling.com

Якось переглядаючи форум на www.xakep.ru, зустрів я оголошення про злом сайтів на замовлення, і ніби як людина пропонував хороші гроші. Списався я з ним, і отримав список з трьох сайтів, одним з яких значився netbilling.com. Стояв він на Apache 1.3.26, ніж вигідно відрізнявся від двох інших, які теж стояли на Apache, але вже версії 1.3.27.
Просканіл я його XSpider, і побачив не веселу картину, відкриті стандартні порти, на сервері можливий витік в загальнодоступній пам'яті 'scoreboard', але так як я не локальний користувач, воно мені було і не треба. Правда, були відкриті для перегляду директорії:
/ merchant /
/ files /
/ images /
/ info /
/ mrtg /
/ scripts /
, Але в цих директоріях так само не було ні чого особливо цінного.
Була також парочка багів з налаштуванням:
http://netbilling.com:80/admin/credit_card_info.php - кредитних карт тут не виявилося,
http://netbilling.com:80/phpmyadmin/tbl_create.php - це було цікавіше, можна було переглянути інформацію про зареєстровані в MySQL юзерів (1) і їхні права (2) на вимогу:
http://netbilling.com/phpmyadmin/user_details.php


і список MySQL баз зі статистикою:
http://netbilling.com/phpmyadmin/db_stats.php.


Але все це були дрібниці, тому як config.inc.php був недоступний для перегляду, та й до того ж вхід з неавторизованого адреси на MySQL був заборонений.
Правда був ще один баг з налаштуванням:
http://netbilling.com:80/cgi-bin/printenv - з приводу якого Xspider видав "може бути корисна інформація". Але на відміну від стандартної сторінки printenv, на якій іноді може бути і буває корисна інформація aka версії сервера, твого ip, і т.д., на цей раз з'явилася сторінка Apache module update з вікном введення Module to update:


І ось в це вікно (власне в той момент виникла думка, що сама сторінка нагадує сценарій cmdasp.asp), я вводжу в ls /, і бачу лістинг кореня. Ну а далі почалася подорож по директоріях - ls / www / і т.д.


Сайтів там висіло предостатньо. Половина з них було порнушний, тому потихеньку я добрався і до паролів мемберов і адмінів, тим більше що команда cat працювала без проблем - cat / www / hornybitches / passwords / htpasswd2 ;-).


Завантаживши все це собі на гвинт, я вирішив пошукати і місце розташування credit card.
В одній з директорій netbillingа я виявив файл 1020048073633.dmp, при його відкритті я і побачив магічні символи зарубіжної респектабельного життя. Але файл був великим, і при його відкритті IE в один момент завис. Довелося перевантажити систему, і повернутися до сторінки. Тоді я вирішив скопіювати файл в одну з веб-директорій, і це теж спрацювало:
cp / www / netbilling / вже не пам'ятаю яка директорія / 1020048073633.dmp
/www/netbilling/htdocs/files/1020048073633.dmp
де він до цих пір і лежить ;-).
Для тих хто не зрозумів - http://netbilling.com:80/files/. Забирайте файл ;-) це мій подарунок.
Почекай, дочитай до кінця базу ще встигнеш скачати, туди я ще перекинув і файл compuserve.zip, там до фіга мив користувачів compuserve.
Окрилений своєю перемогою я тут же відписав замовнику, звідки можна забрати бази, і кинув повідомлення на http://www.void.ru/. Вранці наступного дня, я вирішив, що даремно я не задефейсіл всі ці сайти і вирішив що зараз саме час. Але не тут то було. Треба віддати належне хлопцям з http://www.void.ru/, інформація про дірку вже висіла на їхньому сайті. І чи то адмін netbillingа здивувався трафіку звернення до даної сторінки, то чи хто з несвідомих «товаришів» відписав йому про нещасливої дірі, але вона була вже прикрита. Сторінку видалили. Ну да ладно, дефейси більше - дефейси менше, не в цьому щастя.
Ну а той хрін, який мені замовив сайт, так мені і не заплатив, кидалою виявився, почав бідкатися про те, що мила там мовляв не ті, і мало їх там (230 метрів текстовика! В zip архіві), потім прислав ще список з десятка сайтів і пропав. Загалом, хлопці до кого звернутися чол з мила [email protected] знайте - кидала.
Ну, а всім щасливого хака.

Твій bug Durito.
_________________
EAT THE RICH!