Уязвимости netbilling.com

 

Как-то просматривая форум на www.xakep.ru, встретил я объявление о взломе сайтов на заказ, и вроде как человек предлагал хорошие деньги. Списался я с ним, и получил список из трех сайтов, одним из которых значился netbilling.com. Стоял он на Apache 1.3.26, чем выгодно отличался от двух других, которые тоже стояли на Apache, но уже версии 1.3.27.
Просканил я его XSpider, и увидел не веселую картину, открыты стандартные порты, на сервере возможна утечка в общедоступной памяти 'scoreboard', но так как я не локальный пользователь, оно мне было и не надо. Правда, были открытые для просмотра директории:
/merchant/
/files/
/images/
/info/
/mrtg/
/scripts/
, но в этих директориях так же не было ни чего особо ценного.
Была также парочка багов с настройкой:
http://netbilling.com:80/admin/credit_card_info.php - кредитных карт здесь не оказалось,
http://netbilling.com:80/phpmyadmin/tbl_create.php - это было интереснее, можно было просмотреть информацию о зарегистрированных в MySQL юзерах (1) и их правах (2) по запросу:

http://netbilling.com/phpmyadmin/user_details.php


и список MySQL баз со статистикой:
http://netbilling.com/phpmyadmin/db_stats.php.


Но все это были мелочи, потому как config.inc.php был недоступен для просмотра, да и к тому же вход с неавторизованного адреса на MySQL был запрещен.
Правда был еще один баг с настройкой:
http://netbilling.com:80/cgi-bin/printenv - по поводу которого Xspider выдал "может быть полезная информация". Но в отличии от стандартной страницы printenv, на которой иногда может быть и бывает полезная информация aka версии сервера, твоего ip, и т.д., на этот раз появилась страница Apache module update с окном ввода Module to update:


И вот в это окно (собственно в тот момент возникла мысль, что сама страница напоминает сценарий cmdasp.asp), я ввожу в ls /, и вижу листинг корня. Ну а дальше началось путешествие по директориям - ls /www/ и т.д.


Сайтов там висело предостаточно. Половина из них было порнушных, поэтому потихоньку я добрался и до паролей мемберов и админов, тем более что команда cat работала без проблем - cat /www/hornybitches/passwords/htpasswd2;-).


Скачав все это себе на винт, я решил поискать и место расположение credit card.
В одной из директорий netbillingа я обнаружил файл 1020048073633.dmp, при его открытии я и узрел магические символы забугорной респектабельной жизни. Но файл был большим, и при его открытии IE в один момент завис. Пришлось перегрузить систему, и вернуться к страничке. Тогда я решил скопировать файл в одну из веб-директорий, и это тоже сработало:
cp /www/netbilling/уже не помню какая директория/1020048073633.dmp
/www/netbilling/htdocs/files/1020048073633.dmp
где он до сих пор и лежит;-).
Для тех кто не понял - http://netbilling.com:80/files/. Забирайте файл ;-) это мой подарок.
Подожди, дочитай до конца базу еще успеешь скачать, туда я еще перебросил и файл compuserve.zip, там до фига мыл юзеров compuserve.
Окрыленный своей победой я тут же отписал заказчику, откуда можно забрать базы, и кинул сообщение на http://www.void.ru/. Утром следующего дня, я решил, что зря я не задефейсил все эти сайты и решил что сейчас самое время. Но не тут то было. Надо отдать должное ребятам из http://www.void.ru/, информация о дыре уже висела на их сайте. И то ли админ netbillingа изумился трафику обращения к данной странице, то ли кто из несознательных «товарищей» отписал ему о злополучной дыре, но она была уже прикрыта. Страницу удалили. Ну да ладно, дефейсом больше – дефейсом меньше, не в этом счастье.
Ну а тот хрен, который мне заказал сайт, так мне и не заплатил, кидалой оказался, начал плакаться о том, что мыла там дескать не те, и мало их там (230 метров текстовика! в zip архиве), потом прислал еще список из десятка сайтов и пропал. В общем, ребята к кому обратиться чел с мыла zirrus@mail.ru знайте - кидала.
Ну, а всем счастливого хака.

Твой bug Durito.
_________________
EAT THE RICH!