Смерть Web-чатам. Нашумевшие истории крупных взломов

Master-lame-master

Xakep, номер #055, стр. 055-048-1

Становится как-то грустно, когда, перелистывая страницы крупных порталов безопасности, натыкаешься на "статьи-шедевры" под названиями типа "Как был взломан lamer.narod.ru". Суть подобного материала сводится к захвату прав nobody и последующему дефейсу с парой килобайт ников в поле Greetz. А вот о попытках взятия root-доступа в статьях ничего не говорится. Зачем писать такой пустой материал... одному Богу известно.

Дефейс - атрибут любого скрипткидиса. И таких горе-дефейсеров в инете целые толпы, поэтому замены index.html, index.cgi, index.php (нужное подчеркнуть) происходят сотни раз за день. Некоторые кидисы делают взломы сами, т.к. они в совершенстве освоили работу с CGI-сканером, другие же работают в командах с громким именем "-=SECURITY TEAM=-" (да-да, сейчас это до сих пор модно). А кто-то просит посторонних людей сделать дефейс, мотивируя тем, что старший хакер должен помогать младшему ;).

Взлом www.ostrovok.net

Именно так и случилось одним весенним днем. Какой-то кидис в ирке умолял задефейсить невинный Сахалинский web-чат. Мол, админы там его забанили, а дефейсом он покажет свою супер-хакерскую месть. Происходило это на довольно серьезном канале, поэтому кидис моментально был послан в известном направлении. Но недремлющий оператор канала заинтересовался предложением скрипткидиса (он как раз искал шелл для своих задумок). Ясен перец, он не увлекался дефейсами, ему был нужен только root-доступ на хорошем сервере.

Сканируем Web

Вначале хакер решил прогуляться по 80-му порту сервака www.ostrovok.net (про него и говорил кидис). Там он наткнулся на убогий web-чат (собственно, его он и ожидал увидеть). Если ты думаешь, что нарушитель сетевого спокойствия стал жамкать на все ссылки в поисках мимолетной баги, ты ошибаешься :). Он выбрал немного другой вариант взлома системы - сканирование. Незадолго до этого взломщик стрейдил у буржуя с Далнета базу имен уязвимых CGI и PHP-скриптов. Дело было за хорошим сканером, который сумеет быстро и безопасно прогнать все HTTP запросы для удаленного сервака.

По душе ему пришелся обычный виндовый TCS сканер (http://www.zone-h.org/files/3/tcs.zip), потому как он имел много хороших примочек: поддержка proxy при сканировании, возможность подключения своих баз, фильтрация ответов сервера и т.д. Одним словом - лучшая тулза для безопасного сканирования на WWW-баги.

К сканеру хакер подключил свою базу, вбил в настройках безопасную проксю и запустил процесс. Через несколько минут тулза выдала результат из двух ссылок, которые указывали на уязвимые скрипты в /cgi-bin. Необходимо было тщательно проверить каждую ссылку и уже потом ломать систему через найденную багу. Порывшись в багтраках, взломщик быстро выяснил, что же за ошибки хранили в себе эти скрипты.

Первая ссылка на скрипт gbook.php содержала include bug (подробнее об этой ошибке читай в Х #02.03). Через переменную, переданную скрипту методом GET, возможно удаленно просматривать любые файлы на сервере, что и подтверждала ссылка http://www.ostrovok.net/cgi-bin/gbook.php?file=/etc/passwd. На экран выползли списки юзеров. Так вот! А ведь багтраки не раз предупреждали админов о серьезности этой ошибки...

Содержание  Вперед на стр. 055-048-2
ttfb: 3.6690235137939 ms