You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
взлом<br />
Леонид «R0id» Стройков<br />
/ stroikov@gameland.ru /<br />
Наш ответ Эстонии<br />
Злостный взлом эстонского радио<br />
Об Эстонии в последнее время говориться очень много; события на территории этой, некогда союзной,<br />
страны получили широкий резонанс в обществе. Посольство в Москве закидывают яйцами,<br />
в Таллине митингуют, но все это оказывается шуточками по сравнению с тем, что происходит в<br />
интернете. Пророссийски настроенные хакеры обрушивают шквал атак на сайты и компьютерные<br />
сети небольшой прибалтийской страны. Все это имеет такие масштабы, что правительство Эстонии<br />
даже обращается к институтам международного права за защитой. Но все бесполезно — хакерский<br />
гнев, выражаемый сотнями терабайт ip-пакетов, не остановить. Мы решили выяснить, так<br />
ли уж сложно сломать эстонский сайт. Ничего личного, но сломали :).<br />
Говорит Москва<br />
Зайдя на Гугл и вбив в строке поиска незамысловатое «inurl:.ee», я<br />
принялся парсить эстонские ресурсы, располагающиеся в национальной<br />
доменной зоне Эстонии (.ee). То и дело проскакивали хостинги, институты,<br />
шопы и прочие проекты, так что через несколько часов активного отдыха<br />
aka парсинга в закладках моего браузера прибавилось с десятка два<br />
линков на бажные .ee-сайты. Прикинув объем предполагаемой работы, я<br />
начал разгребать напарсенное в надежде наткнуться на что-нибудь действительно<br />
интересное :). Однако от этого занятия меня отвлекла мессага,<br />
прилетевшая в аську от одного из моих давних знакомых. Мы обменялись<br />
парой сообщений, и наш разговор плавно перетек в русло эстонско-российского<br />
конфликта, после чего мой знакомый скинул мне линк эстонского<br />
сайта, который, по его словам, на днях уже пытались взломать. Скопировав<br />
в адресную строку Оперы урл www.raadio7.ee и нажав на «Enter», я оказался<br />
на сайте эстонского радио Raadio 7. Как выяснилось позже, ресурс был<br />
достаточно крупным, кроме того, это радио осуществляло интернет-вещание,<br />
в связи с чем еще сильнее заинтересовало меня =). В первую очередь я<br />
решил чекнуть потенциальную жертву на www.domainsdb.net.<br />
Увы, но полученные данные не отличались конкретикой. Поэтому я решил<br />
незамедлительно приступить к анализу движка на сайте Raadio.<br />
На легкую прогулку я не рассчитывал, но сказать, что я был удивлен,<br />
— значит не сказать ничего. После получасового поверхностного<br />
осмотра двига я прибывал в полушоковом состоянии. Ресурс был<br />
практически изъеден sql-инъектами, которые встречались везде, где<br />
только можно.<br />
Также имела место инъекция и в поле логина юзеров. Поковырявшись<br />
еще минут 10, я даже обнаружил активную xss.<br />
Создавалось впечатление, что программисты, писавшие двиг,<br />
курили какую-то загадочную траву и делали это с завидной регулярностью.<br />
По опыту скажу тебе, что если программеры курят, то обычно<br />
они делятся травой с админом =). Поэтому я принялся раскручивать<br />
найденные баги. Наиболее удобный для реализации инъект был<br />
в скрипте saated.asp. Обойдя фильтрацию символов с помощью<br />
aes_decrypt/aes_encrypt и поиграв с параметрами, я выяснил, что<br />
на сервере крутится винда, а в качестве БД стоит MySQL версии<br />
4.1.12. Кроме того, удалось выдрать аккаунты из mysql.user:<br />
/ 062<br />
xàêåð 06 /102/ 07