Trinux
30.08.2005, 20:24
доброго времени, давно не виделись! Ну уваж. Trinux постыдились бы приводить в пример, avis ;) .. и кто только на них шел ни поимел …. удачи ! п.с. не трогайте avis-job ! там админ тупой…
Речь идет о моей статье:
http://www.hackzona.ru/hz.php?name=News&file=article&sid=3499&mode=&order=0&thold=0
это один из комментов. Автор говорит о сайте avis-job.ru. На данный момен там действительно висят шеллы практически всех, кто вообще хоть как-то шарит. Но вот что интересно... Первым то был я. Ну, может, конечно и не первым, но когда туда пришел я, следов от других кулХацкеров небыло.
Как получил я этот шелл - рассказывать смысла нет. Но вот зачем - история интересная. Это то, что урезали ][ из моей статьи:
http://www.hackzona.ru/hz.php?name=News&file=article&sid=3430
Там я рассказывал о уязвимости серверов, где пользователь nobody принадлежит той же рабочей группе, что и обычные юзвери на примере хостинга агавы и конкретном взломе официального сайта Глюкозы. Данную уязвимость я нашел у знакомого хостера, совершенно случайно. После того как разобрался в чем же дело и откуда у меня взялись права на чтение чужих директорий из скрипта, я заметил что группа у пользователя nobody (меня) совпадает с группой пользователей хостинга. Тогда эта уязвимость мною почти замялась. Да и потом я не считал ее тогда уязвимостью, просто бага админа, который настраивал сервак. Но как выяснилось чуть позже - помойму этот же админ настраивал доброю половину всех русских хостеров. Как ни странно - у забугорных хостеров такая уязвимость наблюдалась крайне редко. Когда я наткнулся на сайт glukoza.ru и когда захотелось поглядеть че там внутри - все сводилось к поиску уязвимого сайта на этом же хостинге. Т.е. как вы могли понять из статьи http://www.hackzona.ru/hz.php?name=News&file=article&sid=3430, имя всего один шелл, можно иметь доступ ко всем сайтам на хостинге. Вот тогда я и начал горами лопатить уязвимые сайты и вбивать "uname -a" в поисках третьего сервака агавы. Именно тогда попался под руки avis-job.ru и именно на примере этого сайта была писана статья в ][ и скрины они тоже постили именно с этого сайта и если хорошо к ним присмотреться, можно это заметить.
Но это все цветочки. Что самое интересное, я имел недавно дело с еще парочкой свежих хостингов - та же дыра. Т.е. о ней как-то забыли, не смотря на то что уязвимость то опасная. Несмотря на то что все крупные конторы стараются закрывать все дыры, более мелкие проекты, имеющие собственные серваки, не занимаются этим. kpnemo.ru хостил несколько "дружеских" проектов у себя, типа такая поблажка. Ну и молодец. В итоге сурсы его двига в открытом виде в сети =) хотя он изначально продавал зендовые. Вообщем есть о чем подумать...
Речь идет о моей статье:
http://www.hackzona.ru/hz.php?name=News&file=article&sid=3499&mode=&order=0&thold=0
это один из комментов. Автор говорит о сайте avis-job.ru. На данный момен там действительно висят шеллы практически всех, кто вообще хоть как-то шарит. Но вот что интересно... Первым то был я. Ну, может, конечно и не первым, но когда туда пришел я, следов от других кулХацкеров небыло.
Как получил я этот шелл - рассказывать смысла нет. Но вот зачем - история интересная. Это то, что урезали ][ из моей статьи:
http://www.hackzona.ru/hz.php?name=News&file=article&sid=3430
Там я рассказывал о уязвимости серверов, где пользователь nobody принадлежит той же рабочей группе, что и обычные юзвери на примере хостинга агавы и конкретном взломе официального сайта Глюкозы. Данную уязвимость я нашел у знакомого хостера, совершенно случайно. После того как разобрался в чем же дело и откуда у меня взялись права на чтение чужих директорий из скрипта, я заметил что группа у пользователя nobody (меня) совпадает с группой пользователей хостинга. Тогда эта уязвимость мною почти замялась. Да и потом я не считал ее тогда уязвимостью, просто бага админа, который настраивал сервак. Но как выяснилось чуть позже - помойму этот же админ настраивал доброю половину всех русских хостеров. Как ни странно - у забугорных хостеров такая уязвимость наблюдалась крайне редко. Когда я наткнулся на сайт glukoza.ru и когда захотелось поглядеть че там внутри - все сводилось к поиску уязвимого сайта на этом же хостинге. Т.е. как вы могли понять из статьи http://www.hackzona.ru/hz.php?name=News&file=article&sid=3430, имя всего один шелл, можно иметь доступ ко всем сайтам на хостинге. Вот тогда я и начал горами лопатить уязвимые сайты и вбивать "uname -a" в поисках третьего сервака агавы. Именно тогда попался под руки avis-job.ru и именно на примере этого сайта была писана статья в ][ и скрины они тоже постили именно с этого сайта и если хорошо к ним присмотреться, можно это заметить.
Но это все цветочки. Что самое интересное, я имел недавно дело с еще парочкой свежих хостингов - та же дыра. Т.е. о ней как-то забыли, не смотря на то что уязвимость то опасная. Несмотря на то что все крупные конторы стараются закрывать все дыры, более мелкие проекты, имеющие собственные серваки, не занимаются этим. kpnemo.ru хостил несколько "дружеских" проектов у себя, типа такая поблажка. Ну и молодец. В итоге сурсы его двига в открытом виде в сети =) хотя он изначально продавал зендовые. Вообщем есть о чем подумать...