Форум АНТИЧАТ - Взлом Казахстанских провайдеров

Это моя старая статья, я ее год назад на хакзоне еще публиковал. Вот здесь теперь выложу может кому интересно будет.
Взлом Дуката был совершен на новый год в 2006 году, то есть примерно год назад
************************************************** ******************************
Многие думают, что крупные сайты провайдеров трудно и опасно ломать. И обычно на вопрос почему отвечают фразой "Это
же провайдер!". Посмотрим на самом ли деле это так сложно

[Интро]

надоело мне как-то ломать сайты на одних и тех же багах и хотелось сломать что-нибудь крупное, до меня которое никто не ломал.
Тогда решил я попробовать проверить на безопасность сайты провайдеров и вот что у меня из этого получилось.

[Взлом провайдера Ducat]

Первым я натолкнулся на сайт нашего очень хорошего и дешевого казахстанского провайдера Ducat (www.ducat.kz). Первым делом я прошелся по ссылкам и
посмотрел код сайта, но там так и ничего не нашел. Тогда я стал лазить по его поддоменам (files.ducat.kz forum.ducat.kz chat.ducat.kz). И на поддомене http://files.ducat.kz/ меня привлекло то, что там стоял публичный скрипт 4images 1.7.1 и велась
ссылка на сайт создателей того скрипта. Первым делом я отправился на securitylab.ru и попробовал найти есть ли ошибки у этого скрипта. К сожалению я ничего не нашел и пришлось делать только одно: скачать и искать самому ошибку в скрипте. Скачал я его на сайте 4homepages.de и сразу после установки пошел смотреть код на php инъекцию, но все усилия были тщетны. И вот когда я стал просматривать последний файл search.php я обратил внимание на строчку

$sql = "SELECT ".get_user_table_field("", "user_id")."
FROM ".USERS_TABLE."
WHERE ".get_user_table_field("", "user_name")." LIKE '$search_user'";

это строчка на сайте искала пользователя. Я заметил, что кавычки не фильтруются, и решил попробовать сделать sql инъекцию.
тогда я зашел на www.files.ducat.kz/search.php и для проверки ввел
!' or 1=1 or '!
в поле "Search by Username:".

Кто незнает
этот запрос показывает все данные из таблицы, так как 1 всегда равен 1. Скрипт мне показал все файлы и пользователей кто
закачал это файл. Оставалось найти пароли пользователей. Тогда я стал перебирать в поле "Search by Username:" различные sql
запросы, для того чтобы узнать пароль администратора (а их было 2 Kuvalda и silencess
) и у меня все время выводились различные ошибки. Но наконец на запросе

Kuvalda' union select user_password from 4images_users where user_name LIKE 'Kuvalda

то есть конечный запрос был

SELECT user_id FROM 4images_users WHERE user_name LIKE 'Kuvalda' union select user_password from 4images_users where
user_name LIKE 'Kuvalda'

(запрос читается так взять из таблицы 4images_users из поля user_name строку где есть юзер Kuvalda и также взять пароль его
)

скрипт выдал мне в ошибку md5 хеш администратора. Вначале я подумал расшифровать его с помощью программы passwordpro но
после 30 минут ожидания мне надоело ждать и я поступил по другому. Я зарегистрировался в поддомене и в аутентификаций поставил
галочку запомнить меня (Log me on automatically next visit). Далее я зашел на сайт через оперу и ввел свои данные. Далее мне
оставалось только поменять значения куки. В опере это делать легче всего Tools -> Preference -> Privacy -> Manage cookies
и поменял значение пароля и id на администратора (значение id я тоже взял из ошибки). Нажал рефреш и как я и ожидал я зашел
на поддомен как администратор. Теперь надо было найти админку и покопаться там. Админка была по адресу
http://files.ducat.kz/admin . Кстати, забыл сказать скрипт у них был руссефицированный (кажется, они сами его научили русскому), так
что мне повезло. В разделе админки "Закачать файл" можно было только закачать рисунки и другие ненужные мне форматы. Тогда я
добавил в разделе "установки" возможность закачивать php файлы (при этом на главной странице сайта показывается ошибка, так
что после закачки файла надо не забыть убрать в разделе "установки" возможность закачивать файлы php) и закачал php shell от
rst (rst.void.ru). И сразу на главное странице в поле новые файлы отобразился мой файл. После нажатия скачать скрипт почему
то выдавал мне сам файл, то есть он не выполнялся, а скачивался. Тогда я понял в чем дело - мне нужен был полный путь к скрипту.
Тогда я у себя на локалхосте проверил, куда скидываются файлы, и нашел они все были в папке datamedia/1, где 1 обозначало
категорию, в которую скачан файл. Я закачивал файл в категорию "программы", и номер ее был 13. Далее я проследовал в
http://files.ducat.kz/data/media/13/shell.php и был очень рад тому, что скрипт нормально отобразился и я получил доступ к поддомену. К сожалению через скрипт я не мог получить

доступ к главному сайту и тогда я решил найти пароли от базы данных. Они хранились в файле http://files.ducat.kz/config.php. Ну а дальше было дело
привычное: я залил файл для работы с базой данных от команды rst и ввел пароль, логин и адрес сервера. Сразу что меня
привлекло это большое количество баз. Здесь были база и от форума и от чата и множество других сервисов. Также был досутп к базе данных пользователей

Чтобы было поинтереснее я поставил себя админом на форуме и чате. Полазив далее по
базе я обнаружил много вкусного и интересного. Насладившись всем я решил, что взлом удался, и осталось только сообщить админам
ошибку и задефейсить сайт, что я и сделал.
[Взлом сайта Казактелекома]
А сейчас я вам расскажу маленькую интересную историю про то как я взломал сайт нашего монополиста в области телефонных услуг - Казактелекома. В общем это и нельзя назвать взломом но... короче рассказываю.
Однажды когда я сидел на сайте казактелекома и читал расценки на адсл мне приглянулась ссылка http://www.telecom.kz/index.php?content=about/main как видим скорее всего скрипт обращался к папке. Я тогда попробовал вставить свои данные но как я понял все запросы фильровались и некчему ьы меня не привело. Тогда я просто стал пробовать лазить по папкам: http://www.telecom.kz/about
http://www.telecom.kz/news и как я ожидал от админов, все папки были доступны на просмотр. в папке news меня сразу привлек файл admin.php который просил пароль, которого я естественно незнал. Полазив дальше по папке я его так и не нашел и тогда я попробовал повводить различные стандартные и как вы думаете на каком пароле админка сдалась? "password?" не угадали пароль был куда проще telecom - то есть название домена. Хотя эта админка дала мне только постить свои новости и статьи я все равно почуствовал удослетворение от точго что даже крупные сайты могут подвергнуться детским ошибкам.

[вывод]
Выводом можно сказать то, что даже если это крупный провайдер, то все равно там сидят обыкновенные люди и им своиственно ошибаться. Дукат фирма хорошая и с админами я потом хорошо поговорил.

*****************************************
ПС: ошибку в этом скрипте я тогда публиковал на сайте производителя, на форуме секлаба и на хакзоне.
Но недавно узнал что на милворме эксплоит от какойто команды на этот баг был опубликован я ноября этого года (через 11 месяцев только)
ПС2: Это не первый был мои взлом Дуката, позже было найдено еще 4 бага, последний который я нашел в этом месяце=)