Диско

hiNt (livejoual.com/~h1nt)

Хакер, номер #075, стр. 075-140-1

Видео: ЖивоЖурнальная атака

Помнишь, как модно было раньше иметь пейджер? И как через несколько лет ему на смену пришел сотовый телефон? Если провести такую же аналогию в интернете, то на сегодняшний день мегапопулярно иметь свой ЖЖ - Живой Журнал. Сайт Livejoual.com хостит у себя дневники пиплов, которые изливают свои жизненные проблемы и веселые креативы на виртуальных страницах в ожидании тысячи комментариев от читающих. Естественно, среди ЖЖистов можно выделить некую элиту с огромным количеством friends off, то бишь с нехилой аудиторией читателей. Для нас спортивным интересом является заиметь аккаунт элитного писаки и подна, извини, срать ему, запостив разоблачающую правду о том, как он в 10 лет украл щенка и отрезал ему ухо. Но ближе к делу. Как ты уже узнал из соответствующей статьи во взломе этого номера, хакерская атака обрушилась на портал картинок ЖЖистов - lj.com.ua. На этом сайте любой ЖЖ-юзер может хранить свои картинки с последующим выкладыванием их к себе в журнал. После первого поверхностного осмотра я нашел баг, позволяющий переименовывать любой файл. Таким образом, уже через минуту передо мной красовался /etc/passwd.

Брутать аккаунты мне не хотелось - большинство из них не имело валидного шелла. Мне в голову пришла более изысканная идея - создать изображение, в котором помещался PHP-код (в виде комментария), затем переименовать картинку в test.php и обратиться к скрипту. По всем правилам upload-скрипт позволит залить изображение, а баг в сценарии разрешит переименование. Буквально через пять минут я воплотил идею в жизнь и получил рабочий PHP-шелл. Правда, мне постоянно приходилось перенаправлять вывод команды в файл, а затем обращаться к нему. Поэтому я просто вызвал wget и скачал полнофункциональный PHP-шелл.

Далее мне нужно было скачать MySQL-базу пользователей. Здесь тоже не обошлось без ухищрений. Ушлый администратор запретил доступ к каталогу /inc, где располагались скрипты аутентификации с БД. Для обхода ограничений я воспользовался эксплойтом для ядра 2.6 от raptor. Он позволил изменить группу доступа к папке inc, с последующим считыванием сценария values.php. В нем, как ты, наверное, догадался, располагались четыре переменные, позволяющие слить дамп таблицы users. Именно этот шаг я и сделал, используя возможности mysqldump.

Затем наступил самый интересный момент. Я нашел в базе аккаунт пользователя h1nt и попытался залогиниться под ним. Все прошло без проблем – я попал внутрь, однако отправить сообщение не смог. Это обуславливалось тем, что пароль на livejoual.com отличался от текущего пассворда. Видимо, ушлый h1nt почуял неладное и сменил пароль. Но отчаиваться смысла не было, так как у меня в руках была полная база рунетового ЖЖ. Здесь было над кем подшутить.

Видео: Reverse IP Lookup Cracker

Если хакеру нужно поиметь сайт с хостинга, на котором напрочь отсутствуют баги, он прибегнет к использованию принципиально новой технологии взлома Reverse IP Lookup, которой посвящена статья «Удар по вебу». C ней ты cможешь ознакомиться в этом выпуске ][. В этот раз перед началом записи видеоролика хаксор поставил себе цель получить шелл-доступ к какому-нибудь простенькому сайту, например к www.zhopa.net. И вот что он сделал для этого. Сначала он зашел на чудо-сервис www.domainsdb.net, ввел в соответствующем поле доменное имя «zhopa.net» и кликнул на «Lookup». Перед ним появился список сайтов, хостящихся на одном сервере с www.zhopa.net. Если ему удастся найти среди них дырявый, он получит заветный шелл-акцес. Для этого он поместил сайты из листинга в файл in.txt и натравил на них весьма полезный скрипт, написанный NSD, который ходит по указанным сайтам и ищет установленный phpBB. После того как его программка завершила свою работу, в файле resust.htm появился перечень сайтов, на которых имеется форум phpBB. Далее взломщику нужно было выбрать из них бажный и применить веб-эксплойт, что дало бы ему возможность выполнять команды операционной системы. Теперь сетевому падонку осталось взломать сервер локально, подняв свои права в системе, но это, как говорится, совсем другая история.

Содержание  Вперед на стр. 075-140-2
ttfb: 1483.5131168365 ms