Kak beshe hacknat dir.bg
Debelo pod4ertavam HACKNAT, zastoto za smqnata na www.dir.bg i stranicite
ot web.dir.bg ne bese izpolzvan nito edin remote/local exploit, ne bqha
tyrseni greshki v samata operaciona sistema, a izcqlo bqha izpolzvani
greshkite i nedoglejdaniata na administratorite.
Kak zapo4na vsi4ko. Na 04 May v bugtraqa (www.securityfocus.com) izleze post
na Peter Van Dijk kak e bil hacknat www.apache.org. Izpolzvani sa nedoglejdania
v konfiguraciata na PHP scriptovete i MySQL servera. Reshihme 4e dir.bg moje da
imat systia problem. Razbira se, vednaga mojehme da izpolzvame nqkoi account za
dir.bg, no dadohme malko vreme na sistemnite administratori, da se svetnat s
problema. No uvi.
Sled moje bi sedmica, ve4e imahme normalen www userski account (standartnata
registracia) za web.dir.bg, imas vyzmojnost za upload v home direktoriata si,
i dostyp do klienstkata stranica prez servera web.dir.bg (web.dir.bg/user).
Posledva uploadvene na syvsem prosti4yk php script:
koito vrystase izpylnenieto ot komandi na servera. Naprimer pri zaqvka
http://web.dir.bg/user/scr.php3?c=id se vrystase rezyltatyt ot izpylnenieto na
id komandtata. Tuk otkirhme 2rata seriozna greshka v administriraneto. PHP
scriptovete se izpylnqvaha s uid 33, a ne kakto bi trqbvalo (ot syobrajenia za
sigurnost) s nobody (uid 65535). Do tuk nisto novo.
Ot tyk zapo4va istinskoto hackvane. Debiana na dir.bg (2.2) bese bezupre4en
po otnoshenie na updatei, sql servera si vyrveshe sys sobstveno id(ne 0) i bese
po4ti nevyzmojno da se rootne, kato se izpolzva nqkoi standerten exploit ili pyk
sql. A i ne bese tova celta.
Dori izpylnenieto na php scriptovete s uid 65535 ne bi ni ograni4ilo 4ak
tolkova. Home direktoriite na administratorite bqha ugo+rx (vsi4ki potrebiteli
na sistemata, dori i nobody mojeha da 4etat sydyrjanieto na tezi direktorii)
Tova e 3tata osnovna greshka. V direktroiata na potrebiltelqt ogi (BlackByte)
bese nameren arhiv na etc direktoriata ot 23.12.99. Razbira se vednaga bese
izteglen i dekodirana parolata na ogi. Parolata bese 4-simvolna, samo malki
bukvi i na vsi4koto otgore zapo4vashe s "a", otne ni ne pove4e ot 5sec da se
decodira. Ostaveshe ogi (BlackByte) da ne si bese smenql "sigurnata" parola
kym 6 meseca i ve4e stqhme da si imame shell za web.dir.bg.
Razbira se ot kadyrnost administratora ne si bese butal parolata. Sled
nqkolkoto logvania na ssh s user ogi, toi ne obyrna nikakvo vnimanie na
lastloga.
Useryt ogi praveshe su po n pyti na den. Reshihme da slojim v .bash_profile-a
slednia red:
alias su='alias su=su;
su -c "napravi_nqkyde_suid_shell;vyrni_normalniat_profile;echo Sorry."'
Vseki bi trqbvalo da e nqsno s komandite alias i su (ako ne e man alias;man su)
Taka pri izpylnenie na su ot ogi, administratoryt ni napravi suid shell, vidql
e syobstenieto "Sorry." (hm, sigurno sym sbyrkal parolata). Pri sledvastoto su,
ve4e se izpylnqva 4isto su, i ogi pak e root (no ve4e ne samo toi ;). Ot tyk
natatyk spirame da broim greshkite na admina, 4e stavat mnogo, pyk i smeshni.
Na web.dir.bg bqha instalirani samo troqnci na ps, nestat i ifconfig.
Instaliraneto na sniffer bese bezpolezno, tui kato dir.bg izpolzvat izcqlo ssh
(moje bi za tova si misleha 4e sa mnogo secure). Podmenihme ssh clienta na
web.dir.bg s trojaniziran, koito zapisvashe user,pass i host vyv file vseki pyt
kogato nqkoi go izpolzva(clienta). (pod4ertavam NASH, vsi4kiat coding pri
hackvaneto e delo na LmT) Na sledvastia den ve4e imahme i user za www.dir.bg.
Razbira se mnogo glupavo ot strana na administratora da pravi ssh ot web.dir.bg,
pri polejenie 4e e mojel da se logne na www ot svoeto PC (beer.dirbg.com),
koeto bese dosta po trydno da se troqnizira.
Za www.dir.bg o4akvahme podobre nastroena mashina, no mislehme pak da
izpolzvame tricka s alias. I tuka se slu4i neo4akvanoto, neveroqtnoto,
smeshnoto. Parolata za roota si sedeshe v "/home/ogi/moe". Molq da ne mu se
smeete mnogo. Velikiat administrator bese si napisal parolata za roota v 4isto
txt file, moje bi za da ne q zabravi. Posledva edno su i ve4e imahme www.dir.bg
Smqnata na stranicata ne bi predstavlqvala interes, osven moje bi scripta,
koito podmeni stranicite na 16000 usera, i koito horata ot dir.bg ne mojaha da
izmislqt i qvno opravqha stranici da userite na ryka. Zabelejete, 4e scriptyt
ne trie originalnite userski stranici, a prosto gi premestva.
#!/bin/bash
find /wwwroot/domains/ -follow -iname index.htm\* > /tmp/list
for x in `cat /tmp/list`; do
q="`dirname $x`"
w="`basename $x`"
echo "$q $w"
mv $x $q/$w.old
cp /tmp/index.html $x
cp /tmp/gotroot.gif $q
done
echo "--- Done."
Kato doplynitelno osigurqvane, 4e taka liubezniat admin ste se postarae
malka 4ast ot BG i svetyt da uznaqt negovata neprofesionalna podgotovka
/etc/shadow bese premesten v /. i komandite shutdown i halt bqha setnati a-x
Ostavashe mu edinstveno da drypne shaltera na 2te mashini ili pyk da gi
spre ot neta. A toi, napravi i dvete - za vseki slu4ai. Vijdate 4e, problemite
syzdadeni ot nas po 2te mashini se opravqt za 10min.
V tova se systoeshe cqloto hackvane na dir.bg, osnovano IZCQLO na greshki
na administratorite. Blagodarim na ogi za sydeistvieto pri rootvaneto na
mashinite ;)
null@cybernull.com
LmT@execs.com
|