Диско

hint (hint@gameland.ru)

Хакер, номер #077, стр. 077-140-1

[видео: массовое заражение]

Бытует мнение, что администраторы хостинга всегда правильно подходят к защите своих серверов. На самом деле это не совсем так. Когда мой приятель попросил взломать WWW-сервер крупного американского хостинга, а затем протроянить все index.html'ы вредоносным троянским кодом, я не сомневался в успехе. Ведь у меня уже была база сайтов некоторых крупных хостеров. После небольшого перебора ссылок я наткнулся на сайт девочки Бритни (не Спирс). Я просканил этот сайтик на CGI/PHP-баги и нашел скрипт гостевой книги. Чтобы войти в административную зону, требовалось знать логин и пароль. Введя значения от балды, я обнаружил симптомы SQL-инъекции. Мне пришлось подставить в запрос дополнительные данные и вызвать инъекцию. После того, как я оказался в админке, мне пришло в голову заменить код темплейта (благо, такая возможность была), вставив туда PHP-команду. Однако права на запись не позволяли этого сделать. Но благодаря еще одной ошибке, позволяющей читать любые файлы, я перезаписал сценарий config.php, который располагался в главном каталоге девочки Бритни. После этого я владел полноценным Web-шеллом.

Мне не стоило большого труда залить на сервер connback-бэкдор, залезть в консоль и взломать ядро публичным эксплойтом :). Это еще раз доказывает, что администраторы не обновляют кернел. После этого мне нужно было как-то защитить себя, так как на сервере стояли две IDS (впрочем, читать логи администратор явно не любил, что доказывает 11-метровый mailbox). Запуск локальной системы обнаружения атак производился посредством crontab-скрипта. Он, конечно же, был просмотрен мной с помощью консольной команды crontab -l. Впоследствии я решил пропатчить демон sshd, сделав из него сервис, анонимно впускающий рута с произвольным паролем. Когда эта рутинная работа была выполнена, я просмотрел рутовый .bash_history, и, конечно же, нашел там пароль на ssh другого Web-сервера. Оставалось лишь написать скрипт дефейсера и запустить его в свободное плавание на двух машинах.

Все эти извращения с сервером наиболее вероятного противника ты можешь посмотреть в моем видеоролике. Но перед просмотром не забудь прочитать статью «Массовое заражение» в рубрике «Взлом».

[видео: PhpBB 2.0.13: дефейс сайта]

В этом коротеньком и совершенно нехитром видео демонстрируется возможность получения шелл-доступа к сайту через админку phpBB. В самом начале видео я показываю исходник эксплойта. Потом нахожу сайт некой компьютерной конторы, на котором установлен форум phpBB 2.0.8. Однако стоит отметить, что эксплойт действует на все версии, вплоть до 2.0.13. После того, как эксплойт отработал успешно, я получаю хитроумный URL. Дальше чищу куки, захожу на указанный сплойтом адрес и созерцаю, как на удаленном сайте выполнилась php-функция phpinfo() в eval(). Затем я создаю на серваке-жертве скрипт веб-шелла, для того, чтобы можно было исполнять команды более удобным образом. Команда «ls -la» показывает, что имеются права на запись, так что можно сделать дефейс. После этого делаю резервную копию главной страницы (index.php) и заменяю содержимое на строчку дефейса =). Готово. Потом быстро убираю дефейс и восстанавливаю все, как было.

Содержание  Вперед на стр. 077-140-2
ttfb: 2.9559135437012 ms