История одного взлома. часть вторая. Внедрение в админку.

Пароли на резервный сайт были перехвачены через ettercap (а так же куча других паролей). Надеюсь не надо рассказывать, как подключиться к компьютеру по SSH и посмотреть логи перехвата)
Вот пример того, как выглядит лог:


Перехватив пароли на админку, входим как хозяева и начинаем искать дыры в сайте.
Движок сайта оказался какой-то не понятной самопиской(или может просто мне до этого не встречался).
Для начала решил попробовать добавить нужный мне PHP код в страничку, через редактор страниц в движке(по принципу: а вдруг повезет), но удача мне тут не сопутствовала 🙁
Через некоторое время был найден файл-менеджер в админке, но он на первый взгляд умел работать только с прописанными в нем папками (потом был найден способ открывать через него любую папку, но об этом позже), после пробной заливки произвольного файла PHP, стало ясно, что права на папку, как обычно, выставлены криво и можно заливать на исполнение любой файл. Чем я и воспользовался, залив свой файл-менеджер. Естественно после этого я получил полный доступ к файловой системе и смог слить все скрипты и картинки(первая цель была выполнена). Далее из скриптов был вытащен логин и пароль, на базу MySQL. И конечно же сразу слил ее в в бэкап. Итого первый сайт был взят целиком и живьем 🙂 Теперь возникал вопрос про второй сайт. Ведь пароля на его админку нет, но тут был замечен скрипт синхронизации информации между сайтами. Вскрытие скрипта показало что в нем хранились пароли к БД обоих сайтов:

Конечно же сразу была слита БД второго сайта. Ну и по пути был выдран хэш пароля администратора из второй БД. Он оказался в Base64, но это, была не проблема 🙂
Но вот дальше начались проблемы. Оказалось, что на основном сайте права на папки были заданы коректно, и мой файл-менеджер не имел доступа ко многим папкам. Начал анализировать их файл-менеджер на предмет передачи какого-нить параметра, кроме стандартных. После просмотра скрипта, настало мне счастье. В скрипте небыло проверки на передаваемый параметр директории. Если в начале строка выглядела вот так: http://www.xxx.ru/filemanager/filemanager.php?dir=news_pictures и, то после изменения входных параметров она стала выглядеть так: http://www.xxx.ru/filemanager/filemanager.php?dir=./ и показывать корень сайта. Ну а дальше было лишь делом техники слить все со второго сайта. На этом миссия была выполнена, но мне стало интересно, что же еще можно сделать с сайтом:) Для проверки залил простейший PHP шелл,который сводился к форме и строке вида:

И оказалось что он очень даже неплохо работает 🙂
немного поигравшись со всем этим делом, перешел к последнему этапу: rm-rf ./
На этом работа была закончена. Заказчик получил моральное удовлетворение, я получил то что ме причиталось и приятное чувство выполненной задачи.
А вам я еще приведу маленький скриптик, который жмет файлы с хостинка в архив, который потом можно скачать одним махом.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.