книги хакеры / журнал хакер / 098_Optimized

>>

DVD

На дискеты найдешьмойскрипт char.pl,с помощью которогоможнобез лишнегогеморроя преобразоватьсимволыв ихASCII-код.

i

Никогданесдавайся.Ищиновыепути решенияпроблемы. Всепростыепутиуже нашлидотебя.

!

Внимание!Все действиявзломщика противозаконны!Информацияпредставленаисключительно с цельюознакомления!Ни автор,ни редакциязатвои действияответственностиненесут!

На DVD-дискеты найдешьвидеопо взломук статье.

<TR BGCOLOR="#fff2e4"><TD><TEXT AREA NAME="mesg» ROWS=10 COLS=49 class=forms1white style="width:400 "><script>alert('xss')</script></ TEXTAREA></TD></TR>

Тоестьнамнужнозакрытьвсеоткрытыедо нашегоjavascript-кодатэги,послечегоуказатьсам

javascript-код.Выглядетьв html-сорцеэтобудеттак:

<TR BGCOLOR="#fff2e4"><TD>< TEXTAREA NAME="mesg» ROWS=10 COLS=49 class=forms1white style="width:400"></TEXTAREA></ TD></TR><script>alert('xss')</ script></TEXTAREA></TD></TR>

А сам сплойт примет вид:

</TEXTAREA></TD></TR><script>твой_

яваскрипт_код_здесь</script>

Похожуюситуацию,ноужев другомракурсе можнонаблюдатьнасайтеwww.plentyoffish.com. После прохождения в раздел регистрации

(www.plentyoffish.com/register.aspx) и введения в поле пароля символа одинарной кавычки тебя попросят заполнить все поля. Однако, дописав параметр password и придав его значению символ кавычки, мы получим тот же результат. Составляем линк:

http://www.plentyoffish.com/

register.aspx?password=<script>ale

rt('xss')</script>

Нас просят пройти лесом. Хотя, если заглянуть в html-сорец, видно, что сначала необходимо закрыть кавычкой VALUE и указать «>»:

<TD><INPUT class="input" TYPE="input" NAME="Password" VALUE="" SIZE="13" MAXLENGTH="13" style="width: 100px">

Составленный с учетом всех требований, запрос успешно сработает:

http://www.plentyoffish.com/

register.aspx?password="><script>a

lert('xss')</script>

А сам эксплойт получится таким:

"><script>яваскрипт_здесь</script>

Я привел лишь пару случаев. На самом деле, тема xss гораздо глубже, геморроя хватает.

Прочий«головняк»

Помимо всего прочего, часто встречаются и отдельные варианты «головняка». В частности, в перл-скриптах может присутствовать фильтрация пробела. Например, ресурс www.cumcla.orgсодержитбажныйскриптshowfile.cgi. Передавпараметруfilenameзначениеid,мы увидим,чтокомандауспешновыполнилась:

http://www.cumcla.org/cgi-bin/ showfile.cgi?directory=cgibin&filename=|id|

Но выполнение любой из составных команд

(ps -ax, ls -la, uname -a, и т.д.) окажется не-

удачным, так как пробел фильтруется. В перле подобное ограничение можно обойти при помощи $IFS, то есть тебе достаточно поменять

взапросе все имеющиеся пробелы на $IFS.

Втаком случае просмотреть версию операционки на сервере не составит труда:

http://www.cumcla.org/cgi-bin/ showfile.cgi?directory=cgi- bin&filename=|uname$IFS-a|

Еще один неприятный момент — авторизация в админке через .htpasswd. Дело в том, что даже если ты каким-то образом прочитал содержимое .htpasswd, то пасс там в 99% случаев будет лежать в зашифрованном виде. Причем в разных случаях алгоритм шифрования может быть разным. Это связано с тем, что утила htpasswd, идущая в комплекте с Апачем, поддерживает несколько алгоритмов шифрования, а именно — DES (ключ ‘-d’), MD5 (ключ ‘-m’) и SHA (ключ ‘-s’). При наличии на руках примеров хэшей этих алгоритмов, не составит особого труда определить, с каким ключом работает утила htpasswd в конкретно взятом случае.

Такжестоитупомянутьобasp-движках.Здесь следуетопровергнутьмнениео том,чтоaspскриптымогутработатьтолькоподвиндой,как

считаютмногие.Хотяaspxвстречаетсяисключи- тельноподwin,asp-движокнеплохосебячувс- твуети подниксами.Взломуasp-движковбудет посвященамоястатьяв одномизследующих выпусковжурнала,поэтомуподробнозаострять вниманиенаэтомсейчася небуду.Скажулишь, чторасширениюневсегдаможноверить—оно запростоможетоказатьсяфейковым.Кстати, нельзячрезмернодоверятьи баннерам,принадлежащимкрутящимсянасервереслужбам. Грамотныйадминнеобломаетсяизменитьстан- дартноеприветствиеftp/smtp-сервера.Незря говорят:доверяй,нопроверяй.Всегдаследуй этомуправилу.

В заключение обращу твое внимание на получение доступа к базе. Как ты понимаешь, зачастую, даже имея на руках раскрученный инъект, хочется получить полноценного юзера (читай — рута =)) в ломаемой БД. Изначально многое зависит от пользователя, с правами которого работает с базой уязвимый скрипт. Если есть доступ, например, к базе MySQL, то не поленись проверить возможность удаленных подключений к БД (таблица user, поле host). Если такая возможность присутствует — считай, что тебе повезло. Сливай хэш рутового пароля к базе (таблица user, поля user и password). Как правило, пасс бывает

в виде MySQL-хэша (16 символов), но иногда встречается и алгоритм SHA-1. Первый брутится без проблем (смотри утилу в разделе «X-Tools»), а вот с SHA могут возникнуть трудности. Если удаленные подключения запрещены, то я все же советую тебе сбрутить пассы юзеров БД, так как нередки случаи, когда они подходят к ftp. Ну а при отсутствии доступа к базе MySQL, но при наличии прав file_priv, читай конфиги и сорцы, которые могут содержать в себе заветные пароли. Конфиг Апача поможет тебе определить расположение директорий виртуальных хостов :).

Последнееслово

Рассмотреть все случаи в рамках одной статьи нереально. Я обозначил лишь те, которые наиболее часто встречаются в повседневной хакерской жизни. Надеюсь, ты понял, что взлом

— это не просто применение чужих сплойтов, но и реализация своих собственных идей. Всегда борись до последнего и помни — профессионалы никогда не сдаются. z

Свеженькиепятизнаки

Хочу развеять стереотипное представление о том, что абсолютно все пятизнаки регистриро-

вались в бородатом году и пятерок с простыми паролями уже не осталось. В этом, конечно, есть доля правды, но открою тебе один секрет. Как всем известно, пятизнаков отнюдь не 10000-99999, а гораздо меньше — немногим более двух тысяч. Так вот составленная при помощи программы errwolker собственная база «живых» пятизнаков существенно отличается от старой, что выкладывалась на асечке. В новом списке откуда-то появились левые номера, большая часть из которых элитная, наподобие ХХуХХ.

Решив проверить свежак на простейшие пароли, после недолговременного брута я получил весьма неплохой результат: наикрасивейшие пятизнаки «летели» на пароли типа «internet» и даже «12345». Как оказалось, это были номера новых работников ICQ и их друзей. Несмотря на успешный улов, погоду немного портило то, что процент возвращений уина хозяевам был велик, но что-то все же оставалось. Учитывая легкость их добычи, это, в общем-то, устраивало. Расскажу о веселом случае, произошедшем

с моим другом. Он снял номер bcdea на пароль «opress», естественно, поменял его и отложил, но брут продолжал работать, и в листах еще был этот уин. Каково же было его удивление, когда уин снова выпал в бруте, но с уже более простым паролем «susi». Как оказалось, хозяином уина была подруга админа, которая после угона ее номерка поставила пароль еще проще. Так что следи за появившимися пятерками и дерзай ;).

Админыvsасечники

Не секрет, что люди из Мирабилис посещают порталы, посвященные ICQ-хаку. Они прекрасно понимают, что происходит на подобных сайтах, знают адреса наших магазинов и никаких действий не предпринимают. Ведь мы фактически продвигаем их продукт, от асечников они узнают о различных багах, связанных с асей. Но в каждом стаде есть паршивая овца… Одним прекрасным утром я включаю компьютер

ипервым делом захожу в аську. Не проходит

ипяти минут, как на экране выскакивает табличка «Ваш номер используется на другом компьютере». Я сразу понимаю, что аська не угнана. Проверяю статус своего номерка программой ICQinfo и вижу страшное — уин удален из Чекаю уин напарника по магазину — аналогичная ситуация. Я в шоке и некоторое время не могу дать объяснение случившемуся. Иду на форум асечки с надеждой найти там ответы. Вижу тему про анреги, в ней отписались ребята, у которых тоже в этот день убили уины. Топик на форуме в считанные часы разрастается до множества страниц — люди предлагают различные версии причин случившегося, но я колеблюсь между двумя: админы ICQ или турки. Админы стоят под большим вопросом, так как удалили только контактные номера с шопов, а не их содержимое. Могли и турки, так как любят ковыряться и находить баги, к тому же они не особо жалуют русских. На форуме паника, постояльцы скрывают свои уины масками, многие магазины на время прекращают свою деятельность. После долгих расследований причина была

найдена. Сверив логи посещения наших шопов,

мы нашли одинаковый IP. Рефер был из Яндекса по запросу «продажа ICQ-номеров». Whois-сер- вис выдал, что IP принадлежит America Online ICQ. Все стало на свои места, владельцы шопов оперативно забанили сетку AOL’а на своих сайтах и зажили счастливо. Только этот олень все не мог успокоиться: в логах было видно, как он много раз пытается проникнуть на сайт. Видать, что такое прокси, ему никто не говорил. Как потом удалось выяснить, этим админом был Lior Grafi и у него почему-то ненависть к русским. Может, он обиделся, что его старый пятак тыранули и он лежит у нас ;), но странно, почему

его тогда не возвращает.

ICQfishing

Наверняка,многиепользователи,имеющие красивыйномерок,подвергалисьразводкам различных«кис»,«похотливыхпопок»и т.д.

Например,сидишьты,попиваешьпивко,и вдруг с неизвестногоуинаприходитмессагаотнекой обожательницы,мол,тыобязанзайтиподанной ссылкепосмотретьнаеесиськииличто-нибудь скачать.В этотмоментотнехваткиженскогообществатвойподпитыймозгпринимает

решениевсежевзглянутьнафото.Проснувшись утромс головнойболью,тыпытаешьсязайти в асю,нотутвыскакиваетнепонятнаятабличка «Неверныйпароль»,а всетвоипассыулетели

к «неизвестнойдаме».В товремякактыломаешь головунадвосстановлениемпаролейи избавле- ниемотконяги,какой-топаренекоттвоегоимени разводиттвойжеконтакт-лист,занимаетденьги иливпариваеттроя.

Такжечастоспамв аськуимеетпохожийхарактер.

!

Ломаяномера мирабов,изохотника легкопревратиться в жертву.Не редки случаи,когдаадмины поIPубиваюткомутопачкуномеров. Настоятельнорекомендуювзламывать тольконезанятые уины.Особеннонедостойныуважения те,ктотырит уины у своих—русских.

i

Сейчассамыми короткимиуинами считаютсяпятизнаки,нораньше существовалитрех- и четырехзначные уины.Онисчитались тестовыминомерами.В настоящее времясуществуют одно-и двузначные уины,ноихнельзя заюзатьстандартным клиентом,этотолько web-сервисные номера.

http://

http://asechka.ru

—мощнейшийпроект,посвященный ICQ-хакингу. http://Newuin.ru

—отличныймагазин ICQ-номеров,доступ- ныецены.

DVD

На дискеищипрограммы,упомянутые в статье,плюсвспомогательныйсофт.

Привязанный номер

www.ICQ.com/password подолгу не открывалась или зависала на какой-то стадии ретрива.

Более-менее система стабилизировалась в феврале 2006 го. Произошло и еще одно изменение: теперь прай- мари-мейл не отваливался после установки вопросов при условии, если это первый вписанный мейл. И наконец, в июне 2006 го, на радость всех брутеров, отвалились примаки почти у всех, за редким исключением, номеров, вписанных до начала 2006 года. Таким образом, утверждение, что чем старее база, тем она лучше и правдивее, стало неактуальным. Своими действиями работники ICQ добились желаемого: форма ретрива используется по прямому назначению, на мыльные сервисы перестали

лететь тонны пакетов от чекеров. Но недавний баг немного оживил ситуацию.

При серче уина вписанное в детали мыло показывалось независимо от того, стояла галочка «Не показывать адрес емейла» или нет. В момент были собраны новые базы, и новые примаки, которые все скрывали, были в этой базе.

Конечно, выжать из этих баз удалось не особо много, но все же что-то удалось. Безусловно, больше повезло первым из тех, кто прочекал новую базу, в которой накопилось достаточно заброшенных адресов мыла.

IPDSE—брутновогопоколения

Итак, дорогой дружок, ты, наверняка, слышал и, возможно, даже видел и пользовался такой чудесной программой для перебора паролей к уинам (или, говоря человеческим языком, брутом ;)), как Ipdbrute2/udc Lite, или ее модифика-

цией, умеющей автоматически менять пароли на сбрученных номерах, — Ipdbrute2/udc Pro. Но открою тебе небольшой секрет: есть еще и специальная приватная версия, которая именуется Ipdbrute2/udc Pro SE. VKE (автор IPD) не стал ее выкладывать в паблик, а распространил среди своих друзей

ихороших знакомых с наставлением не раздавать ее всем подряд и использовать только для своего блага. Как мы уже выяснили, в каждом стаде есть паршивая овца, и брут не так давно все же просочился в паблик. Тщательный осмотр пациента в нашей IСQ-лаборатории позволил представить тебе отчет, приведенный ниже ;). Итак, смотрим, чем же так хорош этот Ipdbrute2/udc SE и почему 2 года его не рисковали выложить на всеобщее обозрение.

При первом запуске заметно мало отличий от Ipdbrute2/udc Pro, разве что изменилась надпись в шапке с «Ipdbrute2/udc Pro (с) 20002-2003 VKE» на «Ipdbrute2/udc SE (с) 1980-2004»

ив «About» появились приветы от автора небезызвестным на ICQ-сцене личностям. Интерфейс программы не претерпел каких-либо изменений. Теперь посмотрим на саму

Нас поимели :(

работу брута. Во втором издании брут работает через разные серверы ICQ, которые можно редактировать самому в файле macroses.xml. Благодаря этой возможности новый брут выигрывает у своей предыдущей версии, которая логинится только к стандартному серверу на 5190 порту.

Итак, мы взяли 130 скоростных проксей и попробовали угнать какую-нибудь шестизначку на пароль «vegas». Значение threads (потоки) мы выставили в 500, cleanup (отсеивание мертвых проксей) был каждые 30 минут. Количество потоков выставляется методом проб индивидуально под каждый конфиг компа и канал инета.

Теперь посмотрим на сравнительную таблицу работ брутов: Как мы видим, Ipdbrute2/udc Pro значительно проигрывает в скорости Ipdbrute2/udc Pro Se, так что выкидывай свой старый брут и переходи на более продвинутую версию SE. Что касается результата, то в ходе эксперимента было выловлено 26 шестизначек :).

ВсяправдаобадминахICQ

Каждый из нас когда-то думал:

1.На каких же номерах сидят работники ICQ?

2.Могут ли простые смертные сидеть на таких номерах?

3.Реально ли поиметь админа ICQ?

Нам удалось подобраться очень близко к ответам на все эти вопросы.

Отвечаем:

1. На www.newuin.ru/in/cl.txt лежит контакт одного из админов; знакомые говорят, что этот список

самый полный. В группах Co-Workers, Ex-ICQ, General, Support сидят боги ICQ. Отметим несколько групп в его контакте.

Family;342764160;YaelAlon;0

Family;44448;ziv;0

Family;59995;yael sis;0

Пятизнаки xy — жене и ребенку, теще — кривой девятизнак ;).

ICQ uins i give;55515;stanislav - dev;0 ICQ uins i give;87778;Leon - web;0

IPD SE

Заотдельнуюплатуя дамномерадмина=). Как этож надобылопросить,чтобондал пятизнакxy.

my fans;39666;Fallen Angel;0 my fans;661186;o2 Goodiez;0

Админы столь популярны, что у них есть фанаты! И больше всего порадовала группа эта группа:

hackers;102030404;NukedX's Bot;0

hackers;799499;NukedX's Bot;0

Иногда работникам влом лезть в БД ICQ, и они поверяют примаки номеров по боту S3TUP'а.

2.Могут, но чаще всего хорошенькие номера не долго задерживаются в чужих руках.

3.Реально, и случается это довольно часто. Но бывает и наоборот.

По этому списку можно сверять свои пятерки: админские они или нет. И, например, если пятизнак подходит под группу Ex-ICQ, то есть человек уже не работает на Мирабилис, то много шансов, что этот номерок осядет у тебя надолго. Но крайне не советую стучать в эти номерки и чего-либо просить — минимум отделаешься игнором ;).

Привязываем 10001 =)

Как привязатьпятизнакк мылу?

До недавнего времени считалось, что у пятизнаков не может быть праймари-мейла и восстановить пароль от пятизнака невозможно. Однако теперь это стало возможно при помощи локализованных версий аськи, таких как, например, Rambler-ICQ (версий много, но используем русскую — роднее =)).

Итак,расскажувсепопорядку.Для началаидем наофициальнуюстраничкуhttp://icq.rambler.ru, гделицезреемскринс красивымномером10110(думаю,врядлиону нихесть;)),а справаот неговидимпредложениескачатьRambler-ICQ, чтомыи делаем.Скачави установивпрограмму,смелозапускаеми видимпредложение ввестиномерICQи пароль,логинимсясосвоим пятизнаком,которыйжелаемпривязатьк мылу. Открываетсяокошкорегистрации,в которомнам предлагаютлибоввестисвойлогиннаРамблере,еслитакойимеется,либозарегистрировать новый.В целяхбезопасностия всежерекомендуюзарегистрироватьновыйящик,которыйникомунебудетизвестен,таккакименноонбудет привязанк нашемупятизнаку.На следующем этапенампредлагаютввестипарольи секретныйвопросс ответомнанего,парольнанашем

пятизнакеизменитсянапассотмыла.

Такчтовводимлибосвойдействующийпароль, либочто-тоболееизощренное,чем«qwerty»;). Послеэтого,наконец,логинимсяв номер, бережнозаписавпередэтимадреспривязанногомылав блокнотик.Все,наэтомпроцедура привязкизавершена.Чтобывосстановить парольотсвоегопятизнака,идемнастраничку http://id.rambler.ru/script/reminder.cgi,вводим логинсвоейпочтынаРамблере,которую привязалик пятизнаку,послечегоотвечаемна свойсекретныйвопроси устанавливаемновый пароль.Парольнанашемпятизнаке,соответственно,тожеменяется.

Эта система применяется не только к пятизнакам. Также, вследствие этой фичи, появилось много риперов, которые, продавая пятизнаки за копейки, с помощью этого метода возвращали их обратно. Поэтому хочу рассказать, как узнать, привязан ли номер ICQ. Для этого достаточно глянуть инфу номера в клиенте QIP (www.qip.ru) на вкладке «Дополнительно» окошка «Информация». Там мы можем увидеть такую же запись, как на скриншоте «Привязанный номер».

Это значит, что номер привязан. Логично ;). Если номер присобачен, например, к nana.co.il,

Леонид «R0id» Стройков

/  r0id@mail.ru  /