Мафию отмафили

Xakep, номер #029, стр. 029-054-1

X-KoDeX (xkodex@hack4joy.com)

Наверное, у тебя есть своя пага. Только вот народ туда идти не хочет? И ты вступаешь в рейтинговую систему типа "вафлер", "лист 100", "аборт", "спайлох" и т. п. Регишься, вешаешь счетчик, и люди идут к тебе, если заинтересуешь. Это все стандартно, скучно, и вообще - не по хакермански :). Надо все делать по-другому. Все слышали про рейтинг "мафия топ 100"?

Честно говоря, рейтинг не сильно котируется как серьезный, но он все-таки есть. Одна проблемка - админы там обленились в конец (или конец админов обленился), в общем, лажа происходит :). IMHO, поисковые и рейтинговые системы должны быть самыми защищенными www-ресурсами. Но вот в "мафии" админы облажались. Итак, все по порядку.

Отверстие, в простонародии - дыра

Была одна дырка на мафии топ 100 года полтора-два назад. Многие ее юзали, потом кто-то написал админам. Так они, вместо того чтобы пофиксить скрипт, изменили расположение директорий. Но все решили, что дырка закрыта, и забыли про нее. Прошло время. Мне очень сильно понадобилось ОЧЕНЬ много посещений на одну из паг, и все это - за сутки :). Нейроны пошли бегать, вспоминать, и вспомнили! Про старую дыру, которая была залатана. Я полез на "мафию", скачал все что можно, перерыл весь сайт, пересмотрел почти все сорсы ХТМЛа, и (о, чудо!) нашел :). Как всегда - ошибки в цги. А приводят они к очень трагичным (для админов и пользователей)/веселым (для хакерщиков) последствиям. Как анализировать запросы скриптов, здесь описывать не буду - про это уже много где написано. Думаю, что ты и сам все поймешь. В общем, дырявый скрипт висит в "мафии", по адресу www.mafia.ru/cgi-bin/ank/forum/view.cgi.

По этому линку расположен форум на "мафии". Теперь, если приглядеться повнимательней к разделам, то нетрудно выявить и сам дырявый урл: www.mafia.ru/cgi-bin/ank/forum/view.cgi?A=6&B=0001&F=../../../ank/top100/info/ . Это все, естественно, было сделано после тщательного анализа структуры сайта при помощи TeleportPro.

Что дает вышеуказанный урл? С его помощью можно узнать пароль на любой счетчик. А имея пароль, можно натворить массу полезных делов, т. к. многие кул-вебмастеры оставляют повсеместно одинаковые пароли: на хостинг, мыло, другие счётчики, диалапный аккаунт, и т. д. Если ты еще не понял как, поясню. Заходи в "мафию" на первый попавшийся топ 100. Пусть это будет "Хакер" :).

Копируем урл любой паги и кидаем его, например, в "Блокнот".

ID счетчика этой паги равно 978501385 . Теперь в браузер вставляем урл: http://www.mafia.ru/cgi-bin/ank/forum/view.cgi?A=6&B=0001&F=../../../ank/top100/info/978501385 и видим интересное кино ;).

Пароль на этот счетчик равен "mustdie31337" :) Теперь есть два пути окончательного решения:

1. Это зайти на www.top100.mafia.ru/edit.htm и изменить инфу о сайте, пароль или еще что-нибудь, что придет в твою голову. Только предупрежу об одном подводном булыжнике: после твоих изменений новая инфа отправится на мыло хозяину счетчика. Но и это можно обойти! Если просмотреть сорс паги, на которой ты меняешь инфу, то в <input type="hidden" name="email" можно легко увидеть мыло, на которое отправляются сведения о корректировке инфы.

Содержание  Вперед на стр. 029-054-2

ttfb: 3.4430027008057 ms