You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
взлом<br />
http://www.raadio7.ee/saated.aspid=9999+<br />
union+select+1,2,3,4,aes_decrypt(aes_encr<br />
ypt(CONCAT(user,%20CHAR(32,45,32),%20pass<br />
word),0x71),0x71),6+from+mysql.user/*<br />
К сожалению, часть пассов лежала в хэше SHA-1:<br />
root — *AD4B23E06DAC7D62A0786BAC66EC876A5<br />
3E24443<br />
teeliste — *1ED3FD5494C65F34A15285A87D7712<br />
F29B7250FD<br />
24x7 — 248bfe963fe80077<br />
Забегая вперед, скажу, что брут хэшей результатов не дал.<br />
Не получилось подобрать и название таблички в базе.<br />
Вероятно, часть инфы хранилась в mdb. Тогда я решил попробовать<br />
проинсертить mysql.user и добавить новую учетку.<br />
Чудо-запрос в общем виде ты можешь найти на нашем DVD.<br />
Но, как я ни старался, «мускул» был непреклонен. В итоге,<br />
задумка с инсертом отправилась в /dev/null. К этому времени<br />
за окном давно стемнело и уже чувствовалась усталость от<br />
проделанной работы. Плюнув на Raadio 7 вместе с их сайтом,<br />
я выключил ноут и лег спать.<br />
Наше дело правое, победа будет за нами!<br />
Проснувшись, первым делом я зашел на сайт все того же<br />
радио. Какая-то непреодолимая сила тянула меня на этот<br />
ресурс, а учитывая найденные баги, бросать взлом на полпути<br />
я совершенно не планировал. Собравшись с мыслями, я<br />
решил попробовать пойти в обход, то есть атаковать с фланга.<br />
Под этим самым флангом я подразумевал найденную минутой<br />
раньше админку ресурса, которая, как ни странно, лежала<br />
в стандартном каталоге по адресу:<br />
www.raadio7.ee/admin/<br />
Входящие в поля логина данные успешно фильтровались,<br />
что исключало присутствие инъекта. Мое внимание<br />
привлекла еще одна деталь — название админки:<br />
Source4Developers Poll v1,1. Тут же возникла идея во<br />
что бы то ни стало найти сорцы этого двига. Первоначально<br />
я надеялся на то, что скрипты админки, которые были написаны<br />
на ASP, взаимодействуют с «мускулом». Следовательно,<br />
я бы мог узнать название таблички, хранящей админские<br />
аккаунты, и через имеющийся инъект выдрать логин/пасс администратора<br />
Raadio 7. На поиск сорцов Source4Developers<br />
Poll ушло больше получаса. Причем удалось слить лишь<br />
более старую версию, и то с какого-то Богом забытого забугорного<br />
варезника. Как выяснилось, двиг представлял собой<br />
систему опросов, а в каталоге /admin обитали интересующие<br />
меня asp-скрипты. Открыв default.asp, который отвечал<br />
за процесс логина в админку, я выдрал из него лишь одну<br />
строчку:<br />
select [Administrator], [PassWord] from<br />
poll_Admin<br />
xàêåð 06 /102/ 07<br />
Однако Source4Developers Poll работал вовсе не с «мускулом»,<br />
а с лежавшей в каталоге /data базой poll.mdb. Этот факт<br />
заставил меня впасть в раздумье. Изучив оставшиеся скрипты,<br />
я заметил, что защита от неавторизированного доступа к<br />
админке была реализована с помощью куков, а содержимое<br />
pollprotect.inc давало объяснение этому:<br />
If Request.Cookies("PollAdmin") = "" Then<br />
Response.Write("You Are<br />
Unauthorized To View This Section.Home Page")<br />
Response.End<br />
End If<br />
Таким образом, при отсутствии нужных куков меня попросту<br />
должно было редиректить на страницу логина — default.asp.<br />
Решив поэкспериментировать, я вручную вбил адрес, содержащий<br />
в себе путь к скрипту смены админского аккаунта:<br />
www.raadio7.ee/admin/change_password.asp<br />
Когда страничка загрузилась, в поле имени юзера я<br />
прочел: «administrator», а вот поле пасса было скрытым.<br />
Но я не поленился посчитать количество звездочек (их<br />
оказалось 7 =)). Глянув на домен ресурса и прикинув, что в<br />
названии радио Raadio 7 как раз 7 символов, я попробовал<br />
залогиниться...На этот раз удача была на моей стороне — я<br />
оказался внутри :). В общем, админский аккаунт попал в<br />
мои заботливые руки:<br />
логин: administrator<br />
пароль: raadio7<br />
Создав новый опрос и проверив, как он отображается на<br />
индексе ресурса, я довольно улыбнулся =). Задефейсить<br />
сайт эстонского радио Raadio 7, располагающийся по<br />
адресу www.raadio7.ee, не составляло теперь никакого<br />
труда :).<br />
За Победу<br />
Как видишь, даже в почти безвыходных ситуациях можно<br />
найти выход, если очень захотеть =). Напоследок озвучу<br />
пару мыслей насчет дефейсов. Я всегда считал их детской<br />
забавой, не более. Максимум, чего обычно добиваются<br />
дефейсами, — это привлечение внимания. И хорошо,<br />
когда это внимание требуется привлечь к какой-либо<br />
проблеме, как в нашем случае, а не к самому себе. День<br />
Победы навсегда останется для нас праздником со<br />
слезами на глазах. И до тех пор пока мы будем позволять<br />
топтать историю и честь своей Родины, мы никогда не<br />
станем сильной державой и могучим народом. Вот именно<br />
к этой проблеме мы и хотели привлечь твое внимание,<br />
а по поводу дефейсов я все сказал. Поверь, настоящие<br />
профессионалы работают тихо и незаметно, и дефейсы им<br />
абсолютно не нужны =). z<br />
i<br />
При наличии прав<br />
в базе можно с<br />
легкостью проинсертить<br />
табличку<br />
mysql.user и добавить<br />
своего юзера.<br />
Никогда не<br />
старайся атаковать<br />
лишь с одной<br />
стороны, вариантов<br />
зачастую больше,<br />
чем два — стоит<br />
лишь внимательнее<br />
присмотреться =).<br />
DVD<br />
На диске ты найдешь<br />
видео по взлому, в<br />
котором я покажу,<br />
как задефейсил сайт<br />
эстонского радио.<br />
!<br />
Внимание! Информация<br />
представлена<br />
исключительно с<br />
целью ознакомления!<br />
Ни автор, ни<br />
редакция за твои<br />
действия ответственности<br />
не несут!<br />
/ 063