Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #94, ОКТЯБРЬ 2006 г.

Конкурс

BLoodeX (bloodex@real.xakep.ru)

Хакер, номер #094, стр. 094-070-1

В фирме «Ромашка» — грандиозная пьянка. Празднуют устранение главного конкурента на рынке биологических почвенных добавок - «Гладиолуса». На празднестве неоднократно поднимали бокалы за крутого хакера Flak (flak@rulezz.ru). Поговаривают, что этот парень смог доказать незаконную деятельность «Гладиолуса», которая заключалась в засылке пинча своим конкурентам. Сделал он это примерно так.

На главной странице сайта «Гладиолуса» он провел SQL-инъекцию в perl-скрипте главной страницы, используя следующий запрос: «/index.html?id=-1 UNION SELECT ‘|pwd|’». Рассчитывая на склонность perl-функции open исполнять шелл-команды между палочками ‘|’, хакер узнал путь к главному сценарию «/usr/local/www/main». Естественно, он смог прочесть исходник perl-скрипта index.html. Для этого хакер сделал следующий запрос: «/index.html?id=-1 UNION SELECT ‘http://../../../usr/local/www/main’». В исходниках были прописаны логин и пароль к базе данных, которые удивительным образом подошли и к шеллу. Правда, шелл оказался слишком урезанным: существовала возможность выполнять только cd, ls, echo, id, pwd и perl. Причем ls был явно модифицирован и скрывал некоторые директории. Для того чтобы обнаружить эти самые скрытые каталоги, достаточно было написать простенький perl-скриптик, выполняющий работу команды ls, и вогнать его в perl. Таким образом, хакер нашел директории «/secret_ftp», «/secret_sources», «/secret_bin» и «/secret_config».

/secret_ftp содержал:

- norm - директория, в которой хранятся нормальные файлы для ftp;

- viruses – каталог для тех, кому надо отправлять вирусы. Однако для просмотра содержимого не хватает прав;

/secret_source содержал исходники proftpd, пропатченные для засылки вирусов, /secret_bin — команду cp, которую хакер имел право исполнять, а /secret_config — файл virusaddrs.txt, который юзался пропатченным proftpd.

С помощью найденной команды cp хакер скопировал исходники в директорию «/secret_ftp/norm» и слил их по ftp. Далее он нашел изменения, внесенные в код недобропорядочными сотрудниками «Гладиолуса», и добавил в virusaddrs.txt строчку, благодаря которой он мог видеть папку с вирусами. Все данные расследования (имя победителя) были переданы в отдел по компьютерным преступлениям, и правонарушители были подвергнуты наказанию. Правда, сам Flak тоже совершил компьютерное преступление, но благодарная «Ромашка» отмазала хакера от неизбежного наказания :).

В конкурсе этого месяца тебе придется повозиться с icq-ботом. Если у тебя есть желание и некоторые умения в области взлома, ты склонен к экспериментам, а также терпелив, ну и конечно, любознателен, то у тебя все шансы порутать сервак первым и заполучить приз! Для этого заходи в 20-х числах на сайт konkurs.xakep.ru и врубайся в тему.

Содержание
ttfb: 63.252925872803 ms