Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 130, ОКТЯБРЬ 2009 г.

Backstreet's Back! Тотальное уничтожение группы Backstreet Boys

Маг (icq 884888, http://wap-chat.ru)

Приветствую тебя, уважаемый почитатель буржуйского бойс-бенда Backstreet Boys! Сегодня я расскажу занимательную историю о том, как быстро и без боя сдались backstreetboys.com, myspace.com/backstreetboys, а также twitter.com/backstreetboys - основные сетевые ресурсы твоей любимой группы. Все началось с того, что третьего дня небезызвестный редактор рубрики намекнул о продолжении темы взлома всепочитаемых зарубежных знаменитостей, а в голове как раз вертелась нехитрая песенка «Everybody».

Who is who

Начнем наши раскопки, конечно же, с исследования сайта http://backstreetboys.com. Ресурс представляет собой простенькую стартовую страницу на flash с фотографией группы и надписью «Coming soon». Ниже располагаются несколько ссылок: Tour Dates, Enter Fanclub, Shop BSB, BSBlog. Tour Dates и Enter Fanclub ведут на один и тот же сабдомен - http://fanclub.backstreetboys.com. Shop BSB ведет на левый домен http://backstreetboys.shop.bravadousa.com, а BSBlog, соответственно, на http://blog.backstreetboys.com.

Ты не удивишься, если узнаешь, что движком блога группы является уже знакомый тебе WordPress :). Но, как это зачастую бывает, версия блога (2.7.1) была на тот момент неуязвима, так что с быстрым и халявным взломом пришлось распрощаться.

Тут стоит упомянуть, что я не забыл поискать и админку ресурса. Таковая нашлась по адресу http://admin.backstreetboys.com, но требовала http-авторизации, и этот вариант также пришлось на некоторое время отложить.

Дальше на пути нашего исследования стоит фанклуб группы - fanclub.backstreetboys.com.

Бабло побеждает зло!

Фанклуб представляет из себя простейшую социальную сеть, но работающую на платной основе (последний успешный альбом бэки выпустили в 2007 году, теперь надо же на чем-то зарабатывать). Платно здесь все, начиная от чата с форумом и заканчивая просмотром видео и фото с концертов и туров. Мне не очень хотелось отдавать свои кровные за такого рода услуги. Пришлось довольствоваться тем, что есть.

Итак, бесплатными разделами фанклуба оказались всего три ссылки: Home (главная), Tour (расписание туров) и Discography (дискография). Поиздевавшись вдоволь на открывшихся страничках над всемозможными параметрами (насколько это позволял mod_rewrite, большинство ссылок выглядели в таком стиле - http://fanclub.backstreetboys.com/events/827#signups), а также попробовав стандартные пути для поиска админки, я понял, что на данном сабдомене ловить совершенно нечего и стал раздумывать над дальнейшими шагами. Немного погодя мой взгляд упал на футер сайта:

© 2009 Backstreet Boys. All rights reserved.
Powered by ground(ctrl).

Заинтересовавшись, что собой представляет вышеозначенный «ground(ctrl)», я проследовал на сайт http://groundctrl.com.

Неуязвимых не бывает

Оказалось, что ground(ctrl) - это контора, которая разрабатывает сайты на основе своей cms для различных знаменитостей. Как они сами о себе пишут: «We offer innovative interactive marketing and merchandising services for Music Stars, Athletes, and Personalities».

Клиентами конторы (кроме Backstreet Boys) являются такие люди и коллективы, как: Daughtry, Papa Roach, Paul Oakenfold, Thalia, Far, New Kids on the Block, Third Eye Blind, Dredg, Gavin Rossdale. Подобный поворот событий придал мне дополнительных сил для поиска путей проникновения как на backstreetboys.com, так и на сам groundctrl.com :).

На сайте разработчика звездной cms я уже не стал вставлять разные нехорошие символы во всевозможные параметры, а сразу принялся за поиски админки и моментально нашел ее по адресу http://groundctrl.com/admin.

Открывшаяся моему взору страничка порадовала тем фактом, что здесь использовалась не http-аутентификация, а самые обычные логин/пароль через веб-форму. Это означало, что для авторизации используется какая-то база данных и можно было бы потестить соответствующие поля на банальную скуль-инъекцию. Итак, после сабмита в поля «Username» и «Password» значения «1'» я увидел следующую sql-ошибку:

SELECT * FROM users WHERE user_name = '1'' AND password = MD5('1\'')

Стало быть, профессиональные веб-программисты не уследили за простейшей фильтрацией полей ввода :).Теперь залогиниться в админку не составляло труда: для этого лишь в поле с юзернеймом следовало вставить что-то вроде «1' or 1=1/*».

Ты, наверное, уже знаешь, – админки сайтов очень часто подвержены множеству уязвимостей. Веб-разработчики полагают, что никто не сможет проникнуть в эту самую админку извне :) Вот и на этот раз все оказалось гораздо проще, чем я думал. Зайдя в раздел «Manage Users», я наугад выбрал для редактирования профайл юзера с ником «jennie».

В профайле, как это часто бывает, оказалась форма загрузки аватара, рядом с которой было написано «jpg, gif and png images minimum size 265 x 213». Чем черт не шутит, я, конечно же, попробовал залить свой php-шелл вместо аватара.

Без каких-либо дополнительных вопросов мой evil-файл успешно загрузился по адресу http://groundctrl.com/media/images/404.php.

Внутри

Тут необходимо сделать небольшую ремарку. Во время просмотра списка пользователей в админке groundctrl.com мне пришла идея поискать мыльный pop-домен данного сайта, так как все пользователи-админы имели мыло именно в домене groundctrl.com. Тут, как это ни странно, мне снова улыбнулась удача в виде редиректа с http://mail.groundctrl.com на https://www.google.com/a/groundctrl.com/ServiceLogin.

Вполне возможно, что какие-либо пароли админов были бы одинаковыми и для Gmail. Там могла храниться служебная переписка разработчиков нужной мне cms. Теперь, когда у меня имелся веб-шелл на groundctrl.com, неплохо было бы изучить исходники админки на предмет данных для подключения к MySQL, чем я и занялся. Нужные данные почти сразу же нашлись в файлике /var/www/vhosts/groundctrl.com/httpdocs/admin/con/mysql_connect.php:

<?php
define ('DB_USER', 'groundctrl');
define ('DB_PASSWORD', 'breakhouse');
define ('DB_HOST', 'localhost');
define ('DB_NAME', 'groundctrl_website');

$dbc = @mysql_connect (DB_HOST, DB_USER, DB_PASSWORD) or die ('Could not connect to MySQL: ' . mysql_error());
mysql_select_db (DB_NAME);
?>

Имя и структура таблицы с админами мне уже были приблизительно известны из самой первой sql-ошибки при входе в админку. Оставалось лишь набросать небольшой скрипт для выполнения в PHP-eval окне шелла:

include 'mysql_connect.php';
$query = mysql_query('select * from users');
while($arr = mysql_fetch_array($query))
{
print_r($arr);
}

Код вывел на мой экран подробные данные всех админов. Выбрав наугад пользователя с мылом matt.sergent@groundctrl.com и md5-хешем пароля 330ef80613513b8286f95042bf372362, я отправился расшифровывать хеш в irc на plain-text.info:

M4g.c3p0 addmd5 330ef80613513b8286f95042bf372362
C3P0M4g: add ok... at 02:51:33
C3P0MD5 Hash:330ef80613513b8286f95042bf372362 passwd:paplee hex:7061706c6565

ГМыло

Оставалось залогиниться по адресу https://www.google.com/a/groundctrl.com/ServiceLogin с логином «matt.sergent» и паролем «paplee», что мне успешно и удалось сделать. Далее я воспользовался замечательным поиском среди писем, который заботливо встроил в свой мыльный сервис дядя Гугл. В качестве поисковых фраз я использовал следующие комбинации: «ftp pass», «ftp password», «password login». В результате таких раскопок мой улов составили следующие аккаунты:

https://twitter.com/backstreetboys
username - backstreetboys
password - j3nnj3nn
---
Myspace.Com
bsbsocialutility@yahoo.com
spring99
---
Bsbadmin.com (он же admin.backstreetboys.com)
Bsboys
.sandoz.
---
FTP
host: backstreetboys.com
user: backstreetsback
pass: 3rxvt6pueuyr
---
FTP
host: groundctrl.com
user: groundctrl
pass: ninegbzif3zfgw

– и множество других интереснейших вещей (вроде доступов к панели управления Plesk, root-аккаунтов mysql и ftp/sftp-аккаунтов к великому множеству сайтов), которые я не хочу сейчас перед тобой палить :).

Но, наконец-таки, цель нашего квеста достигнута! Настало время совсем немного поглумиться над фанатами нашей подопытной группы.

Социальные сети

Так как дефейсом занимаются лишь первоклассники, я решил направить свои основные действия на аккаунты группы в социальных сетях. Сперва я запостил в Твиттер сакраментальную фразу «I'll be watching you! From Russia with love :)» (как и в случае со Стивеном Фраем). Удивленные отклики фанатов не заставили себя ждать:

piiittta@backstreetboys what...i dont understand?????
---
NinaBackstreetRT @kairarosa @backstreetboys Oh Guys!!!!!!!! Hello!!!! Russia????? OMG! Around the world again????? LOL! Love you! Say Hi to Brazil!
---
Loliii@backstreetboys I'll be watching YOU with love from Argentina, how about that uh?
---
realNinoRodgers@backstreetboys I'll be watching you! From Russia with love :) << That's my country, HAVE FUN!! :-)
---
MysticalPixie@backstreetboys who will be watching? gotta tell us who is twitting here guys...lol
---
puricha@backstreetboys What? Are you in Russia now? I thought you were in Madrid !!
---
DannynhaMansani@backstreetboys Are u going to Russia? Is Russia your next stop, guys? WOW! U're traveling a lot, hope u're having some fun =)
---
overloved@backstreetboys oooohhh my boys!!! tell me something, i wanna know if u do feeling excited to come to Dubai?? how u feel? :D
---
m_serra@backstreetboys i'm watching you! from brazil with love :)
---
k_rina_ktbspa@backstreetboys COME BACK TO SOUTHAMERICA.. CHILE MISS YOU!!! BESOS!!! SA FANS.. LOVES YOU!!!! PLEASE!! :-(
---
vale101@backstreetboys heeey what?s new.. are in Russia .. Wow, understand the language .. tell me something in Russian?... jejeje kisses
---
MayMclean@backstreetboys Hey guys... what's up?? Russia... this is great!! OMG!! tell us when TIU TOUR will arrive in Brazil?!
---
danyzinhalee_@backstreetboys Russia, madrid, Holland, Germany, u guys travel a lot - beijinho doce to you
---
pancho_torto@backstreetboys realyy!!?? people said that it's a great placee!!! please come back to Argentinaa!!! We love you guys!!

Как видишь, люди были крайне удивлены тем, что их кумиры внезапно переместились из Бразилии в Россию, поэтому, будучи больше не в силах никого травмировать, я удалил свой пост :).

Подошла очередь не совсем знакомого мне MySpace. Немного разобравшись со внутренним устройством этой социальной сети, я разместил уже известную тебе фразу в посте блога BSB и на главной странице профайла в комментариях. Вот какие ответы я получил от фанатов Backstreet Boys:

Maira Carter:
BACKSTREET BOYS FOREVER <3
PLEASE, COME TO BRAZIL.
I LOVE YOU SO MUCH....
---
Suzan:
And who will that 'I' be ????? ;) Mr Littrell? Mr Mclean? Mr Carter? Mr Dorough???? ;)
Cause I'll be watching too... From Holland with Love! ;)
---
GinCarter:
WOW GUYS! GOOD LUCK!
---
[*ALMA DaNgErOuS*]:
who's gonna be watching???
xD
remember, Mexico loves you, you have to come back! :)
---
-Rawan-:
I don't know WHO will be watching us..:p but i have a feeling that Nick is the one who will be watching us!
---
*JULIE*ORR*:
oh never mind then lol
---
Danny_Mansani:
I don't know who will be watching us, but I'm def will be watching u ;)
From Brazil, with love =)
---
Stephanie:
What?

Как видишь, и на MySpace также преобладает удивление фанов насчет того, что бэки «пишут из России», а должны бы находиться в Бразилии. Так что мне снова пришлось удалять свои записи и заканчивать этот эпик хак на столь высокой ноте.

Злоключение

Не всегда грамотно сделанный, хорошо настроенный и пропатченный сайт означает, что его невозможно взломать. Зачастую хакеру помогает обычный человеческий фактор, будь то социальная инженерия или простая невнимательность разработчиков, от которой не застрахованы даже самые богатые и знаменитые звезды. Надеюсь, ты вынес из этой статьи и другой очень простой, но важный совет: никогда не сохраняй в своем почтовом ящике любые письма, содержащие в себе логины, пароли и другую важную информацию!

P.S. Обожаю рулить настроениями многотысячной армии фанатов. Со временем жди продолжения интересного звездного взлома :).

INFO

Backstreet Boys (англ. Парни с задворок)— американская поп-группа, которая была образована 20 апреля 1993 года в Орландо (Флорида). В 2001 г. была внесена в Книгу рекордов Гиннеса как самая коммерчески успешная подростковая вокальная команда всех времен.

Backstreet Boys являются одними из самых продаваемых исполнителей в мире, и одними из тех, кто заработал больше всего денег на своих дисках и концертах. Группа состоит из четырех человек: Ник Картер, Эй Джей Маклин, Брайан Литтрелл, Хауи Дороу. Пятый участник – Кевин Ричардсон – покинул группу 23 июня 2006 года.

DANGER

Все описанное в статье является плодом больного воображения автора. Любые совпадения с существующими сайтами случайны. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами этой статьи.

Ссылки по теме:

Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001