як стати хакером за 15 хвилин

Увага! Цей матеріал, як і всі інші, створений для того, щоб показати Зледащіли адміністраторам WEB-серверів на найпоширеніші дірки, які їм лінь заткнути (хоч це і їх прямий обов'язок). І саме через їх ліні будь-яка людина за 15 хвилин може зламати їх сервер.

Ти не вмієш кататися на роликах - остання спроба закінчилася тим, що ти зламав обидві ноги про занадто високий парапет. Ти не вмієш писати програми - твоя перша і остання програма, написана на Нортон командер, вбила тобі материнську плату і спалила монітор. Ти не розбираєшся в музиці - як і раніше думаєш, що Мерилін Менсон це учасниця групи Spice Girls? І Родрігеса ти знаєш тільки тому, що він буде жити ще довго? З усього цього випливає, що тобі катастрофічно не дають. Прикро, але це легко виправити - стань хакером.

Тобі знадобиться IRC-клієнт (бери будь-який, тобі там треба виконати тільки пару команд), а також на ftp.technotronic.com в розділі "rhino9-products" візьми программульку під назвою Grinder - він шукає вказаний тобою файл в діапазоні IP і показує права на нього. Також потрібен Підбирач юніксовскіх паролів John the Ripper (будь-який пошуковик дасть тобі мільярд посилань на нього). А в квадратних дужках я буду вказувати, що треба писати.

Що ж будемо ламати? Систему того придурка, який, отримуючи зарплату за захист сервера, ні хріна для цієї самої захисту не робить. Читай уважно і вчи - цей абзац ти будеш впарювати дівчатам на вечірках. Є таке поняття - cgi-скрипти, навіщо вони потрібні і як вони влаштовані, занадто довго пояснювати і зовсім не обов'язково. І одна з найперших помилок, виявлених в цих скриптах, був т.зв. phf bug, помилка скрипта phf, що дозволяє виконувати віддаленого користувачеві будь юніксовскіе команди на web-сервері. Помилка була знайдена ще в 96 році, але, не повіриш, до сих пір вистачає серверів, які про неї не чули! Що ж, є старе російське прислів'я - "Грім не вдарить - мужик не перехреститься".

Запускай IRC-клієнт і Коннект до будь-якого сервера (тільки не думай робити те, для чого IRC і був створений - для балаканини, інакше на цю саму балаканину піде залишок твоїх днів і грошей на рахунку).

Найгірша захист завжди на великих університетський серверах, там роками не оновлюється програмне забезпечення, а адміни настільки обпилися пива, що просто забули про те, що баги треба хоч іноді фіксують.

Тому сміливо вводь команду [/ who * .edu].

Перед тобою список користувачів, що використовують університетський сервер для виходу в Інтернет.

ОК, бери будь-якого ліпшого (краще першого) юзера, наприклад, Jagaast [email protected]: 2 Jagaast Iz'Merl (*).

Юзер Jagaast поки не знає, що саме він буде Павликом Морозовим, але, думаю, він так і помре в невіданні.

Наступна команда - [/ dns Jagaast].

Цим ти дізнаєшся його IP (наприклад, 194.52.14.102).

Тепер запускай Grinder, він пропонує тобі пошукати файл /index.htm[r1].

Навіщо нам цей файл? Стираємо на фіг і замість нього пишемо [/ cgi-bin / phf.cgi] і діапазон IP від ​​194.52.14.1 до 194.52.14.256 (для тих, хто в танку - це діапазон, в який потрапляє наш Jagaast).

Чекаємо ...

Є два варіанта:
Перший: Grinder пише URL found.
Другий - все інше. Вгадай, який варіант більш сприятливий?

Ось, якщо found, запам'ятовуємо (записуємо адресу, де він був found (наприклад, 194.52.14.25)) і мчимо до браузеру. У віконці броузера стирай свою улюблену напис

[Http://content.mail.ru/My Downloads / ??? |? €? | /Xakep/hack5/tppmsgs/msgs0.htm#40
[Http://content.mail.ru/My Downloads / РЎР|С € Р| /Xakep/hack5/tppmsgs/msgs0.htm#41?Qalias=я/bin/cat / etc / passwd].

О Боже, що це? !! Файл passwd прямо у вікні твого броузера! Це все, що тобі треба, зберігай його і сунь прямо в руки старому John'у (який The Ripper). Прочитавши, ти розберешся, чого там робити, це не так складно.