Kak beshe hacknat dir.bg Debelo pod4ertavam HACKNAT, zastoto za smqnata na www.dir.bg i stranicite ot web.dir.bg ne bese izpolzvan nito edin remote/local exploit, ne bqha tyrseni greshki v samata operaciona sistema, a izcqlo bqha izpolzvani greshkite i nedoglejdaniata na administratorite. Kak zapo4na vsi4ko. Na 04 May v bugtraqa (www.securityfocus.com) izleze post na Peter Van Dijk kak e bil hacknat www.apache.org. Izpolzvani sa nedoglejdania v konfiguraciata na PHP scriptovete i MySQL servera. Reshihme 4e dir.bg moje da imat systia problem. Razbira se, vednaga mojehme da izpolzvame nqkoi account za dir.bg, no dadohme malko vreme na sistemnite administratori, da se svetnat s problema. No uvi. Sled moje bi sedmica, ve4e imahme normalen www userski account (standartnata registracia) za web.dir.bg, imas vyzmojnost za upload v home direktoriata si, i dostyp do klienstkata stranica prez servera web.dir.bg (web.dir.bg/user). Posledva uploadvene na syvsem prosti4yk php script: koito vrystase izpylnenieto ot komandi na servera. Naprimer pri zaqvka http://web.dir.bg/user/scr.php3?c=id se vrystase rezyltatyt ot izpylnenieto na id komandtata. Tuk otkirhme 2rata seriozna greshka v administriraneto. PHP scriptovete se izpylnqvaha s uid 33, a ne kakto bi trqbvalo (ot syobrajenia za sigurnost) s nobody (uid 65535). Do tuk nisto novo. Ot tyk zapo4va istinskoto hackvane. Debiana na dir.bg (2.2) bese bezupre4en po otnoshenie na updatei, sql servera si vyrveshe sys sobstveno id(ne 0) i bese po4ti nevyzmojno da se rootne, kato se izpolzva nqkoi standerten exploit ili pyk sql. A i ne bese tova celta. Dori izpylnenieto na php scriptovete s uid 65535 ne bi ni ograni4ilo 4ak tolkova. Home direktoriite na administratorite bqha ugo+rx (vsi4ki potrebiteli na sistemata, dori i nobody mojeha da 4etat sydyrjanieto na tezi direktorii) Tova e 3tata osnovna greshka. V direktroiata na potrebiltelqt ogi (BlackByte) bese nameren arhiv na etc direktoriata ot 23.12.99. Razbira se vednaga bese izteglen i dekodirana parolata na ogi. Parolata bese 4-simvolna, samo malki bukvi i na vsi4koto otgore zapo4vashe s "a", otne ni ne pove4e ot 5sec da se decodira. Ostaveshe ogi (BlackByte) da ne si bese smenql "sigurnata" parola kym 6 meseca i ve4e stqhme da si imame shell za web.dir.bg. Razbira se ot kadyrnost administratora ne si bese butal parolata. Sled nqkolkoto logvania na ssh s user ogi, toi ne obyrna nikakvo vnimanie na lastloga. Useryt ogi praveshe su po n pyti na den. Reshihme da slojim v .bash_profile-a slednia red: alias su='alias su=su; su -c "napravi_nqkyde_suid_shell;vyrni_normalniat_profile;echo Sorry."' Vseki bi trqbvalo da e nqsno s komandite alias i su (ako ne e man alias;man su) Taka pri izpylnenie na su ot ogi, administratoryt ni napravi suid shell, vidql e syobstenieto "Sorry." (hm, sigurno sym sbyrkal parolata). Pri sledvastoto su, ve4e se izpylnqva 4isto su, i ogi pak e root (no ve4e ne samo toi ;). Ot tyk natatyk spirame da broim greshkite na admina, 4e stavat mnogo, pyk i smeshni. Na web.dir.bg bqha instalirani samo troqnci na ps, nestat i ifconfig. Instaliraneto na sniffer bese bezpolezno, tui kato dir.bg izpolzvat izcqlo ssh (moje bi za tova si misleha 4e sa mnogo secure). Podmenihme ssh clienta na web.dir.bg s trojaniziran, koito zapisvashe user,pass i host vyv file vseki pyt kogato nqkoi go izpolzva(clienta). (pod4ertavam NASH, vsi4kiat coding pri hackvaneto e delo na LmT) Na sledvastia den ve4e imahme i user za www.dir.bg. Razbira se mnogo glupavo ot strana na administratora da pravi ssh ot web.dir.bg, pri polejenie 4e e mojel da se logne na www ot svoeto PC (beer.dirbg.com), koeto bese dosta po trydno da se troqnizira. Za www.dir.bg o4akvahme podobre nastroena mashina, no mislehme pak da izpolzvame tricka s alias. I tuka se slu4i neo4akvanoto, neveroqtnoto, smeshnoto. Parolata za roota si sedeshe v "/home/ogi/moe". Molq da ne mu se smeete mnogo. Velikiat administrator bese si napisal parolata za roota v 4isto txt file, moje bi za da ne q zabravi. Posledva edno su i ve4e imahme www.dir.bg Smqnata na stranicata ne bi predstavlqvala interes, osven moje bi scripta, koito podmeni stranicite na 16000 usera, i koito horata ot dir.bg ne mojaha da izmislqt i qvno opravqha stranici da userite na ryka. Zabelejete, 4e scriptyt ne trie originalnite userski stranici, a prosto gi premestva. #!/bin/bash find /wwwroot/domains/ -follow -iname index.htm\* > /tmp/list for x in `cat /tmp/list`; do q="`dirname $x`" w="`basename $x`" echo "$q $w" mv $x $q/$w.old cp /tmp/index.html $x cp /tmp/gotroot.gif $q done echo "--- Done." Kato doplynitelno osigurqvane, 4e taka liubezniat admin ste se postarae malka 4ast ot BG i svetyt da uznaqt negovata neprofesionalna podgotovka /etc/shadow bese premesten v /. i komandite shutdown i halt bqha setnati a-x Ostavashe mu edinstveno da drypne shaltera na 2te mashini ili pyk da gi spre ot neta. A toi, napravi i dvete - za vseki slu4ai. Vijdate 4e, problemite syzdadeni ot nas po 2te mashini se opravqt za 10min. V tova se systoeshe cqloto hackvane na dir.bg, osnovano IZCQLO na greshki na administratorite. Blagodarim na ogi za sydeistvieto pri rootvaneto na mashinite ;) null@cybernull.com LmT@execs.com