Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #102, ИЮНЬ 2007 г.

Наш ответ Эстонии

Леонид «R0id» Стройков

Хакер, номер #102, стр. 102-062-1

(stroikov@gameland.ru)

Хакерский дефейс эстонского ресурса

Ты, наверняка, слышал про ситуацию с памятником войнам-освободителям в Эстонии. Не услышать про это было попросту невозможно. Все новостные ленты, информационные каналы ТВ, радиостанции и прочие СМИ наперебой кричали о последних ньюсах с места событий. Но, как известно, у каждого своя правда. Я ни в коем случае не собираюсь оправдывать действия эстонских властей, которые сделали все, чтобы в очередной раз поглумиться над Россией. В связи с этим редакция журнала приняла решение нанести лишь символический, но все равно ответный удар по эстонским ресурсам в знак протеста против подобной эстонской политики.

Говорит Москва

Зайдя на Гугл и вбив в строке поиска незамысловатое «inurl:.ee», я принялся парсить эстонские ресурсы, располагающиеся в национальной доменной зоне Эстонии (.ee). То и дело проскакивали хостинги, институты, шопы и прочие проекты, так что через несколько часов активного отдыха aka парсинга в закладках моего браузера прибавилось с десятка два линков на бажные ee-сайты. Прикинув объем предполагаемой работы, я начал разгребать напарсенное в надежде наткнуться на что-нибудь действительно интересное :). Однако от этого занятия меня отвлекла мессага, прилетевшая в аську от одного из моих давних знакомых. Мы обменялись парой сообщений, и наш разговор плавно перетек в русло эстонско-российского конфликта, после чего мой знакомый скинул мне линк эстонского сайта, который, по его словам, на днях уже пытались взломать. Скопировав в адресную строку Оперы урл www.raadio7.ee и нажав на «Enter», я оказался на сайте эстонского радио Raadio 7. Как выяснилось позже, ресурс был достаточно крупным, кроме того, это радио осуществляло интернет-вещание, в связи с чем еще сильнее заинтересовало меня =). В первую очередь я решил чекнуть потенциальную жертву на www.domainsdb.net:

found 0 domain entrys on IP: 84.50.102.194 [get RIPE/ARIN IP info] (Resolved: 84-50-102-194-dsl.kjj.estpak.ee)

IP location: Estonia [EE] - Tallinn

IP owner: Elion Enterprises Limited IP assigned to: Elion Enterprises Limited

found 0 nameservers on IP: 84.50.102.194

Увы, но полученные данные не отличались конкретикой. Поэтому я решил незамедлительно приступить к анализу движка на сайте Raadio 7. На легкую прогулку я не рассчитывал, но сказать, что я был удивлен, - значит не сказать ничего. После получасового поверхностного осмотра двига я прибывал в полушоковом состоянии. Ресурс был практически изъеден sql-инъектами, которые встречались везде, где только можно:

www.raadio7.ee/kogudus.asp?nimi=195%27&key=18.05.2007_10:36:26&sub=Kambja%20Kogudus

www.raadio7.ee/saated.asp?id=16%27

www.raadio7.ee/unustasin.asp

www.raadio7.ee/tanakogudustes.asp?paev=&order=-1

www.raadio7.ee/catnews.asp?cat=-1%27

www.raadio7.ee/one.asp?ID=15081%27

www.raadio7.ee/saade.asp?ID=33%27&saade=uudis

Также имела место инъекция и в поле логина юзеров. Поковырявшись еще минут 10, я обнаружил активную xss:

www.raadio7.ee/kogudus.asp?nimi=195&key=18.05.2007_10:36:26&sub=%3Cscript%3Ealert(%27xss%27)%3C/script%3E

Содержание  Вперед на стр. 102-062-2
ttfb: 3.5130977630615 ms